Name: twitter-video-download Security Report — Trusted | ClawSafe
Item: twitter-video-download
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

twitter-video-download

Download videos from Twitter/X posts using yt-dlp

Twitter视频下载工具，功能正常，安全措施完善，文档声明与代码行为基本一致，无恶意行为证据。

Skill Nametwitter-video-download

Duration33.2s

Enginepi

ClawHub Twitter Video Download v1.0.2 by lemonpek66

📥 263 📦 2

ClawHub Verdict Suspicious dangerous_execllm_suspicious

✓

Safe to install

可直接使用。

Findings 3 items

Severity	Finding	Location
Low	文档声明与实际行为部分不符 Doc Mismatch SKILL.md安全声明'No shell execution'与实际不符：代码通过Node.js spawn调用yt-dlp子进程（shell:false配置正确，无注入风险）。release notes自披露了从shell:true到shell:false的变更历史，表明开发者知晓并修正了问题。当前实现安全，但文档措辞存在歧义。 No shell execution: Uses spawn with `shell: false` for security → 将文档改为'Uses subprocess spawn (shell:false) to execute yt-dlp'，明确区分shell命令执行与子进程调用	`SKILL.md:53`
Low	yt-dlp无版本锁定 Supply Chain SKILL.md安装说明中使用'pip install yt-dlp'无版本约束，依赖latest版本。yt-dlp为活跃维护项目风险较低，但仍存在供应链风险。 `pip install yt-dlp` → 建议固定版本：pip install yt-dlp==2024.03.10（或其他稳定版本）	`SKILL.md:8`
Low	no-check-certificate选项可能弱化TLS验证 Sensitive Access download.mjs:82 使用--no-check-certificate参数，虽注释表明仅在proxy场景需要，但会全局禁用SSL证书验证，存在中间人攻击风险。 `'--no-check-certificate' // Only if needed for proxy` → 改为条件性使用：仅当检测到自签名代理时才添加此参数，或使用--proxy选项而不全局禁用证书验证	`scripts/download.mjs:82`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	SKILL.md:10-17 声明文件写入操作用于保存视频；download.mjs:98 fs.mkdirSync创建目录；download.mjs:104 …
Network	`READ`	`READ`	✓ Aligned	SKILL.md:5 声明通过yt-dlp从Twitter下载视频；download.mjs:111 spawn yt-dlp发起HTTP请求
Shell	`NONE`	`WRITE`	✓ Aligned	SKILL.md:53 'No shell execution' 与代码实际不符；download.mjs:112 spawn('yt-dlp', ...) 使…

4 findings

🔗

Medium External URL 外部 URL

https://x.com/username/status/123456789

RELEASE_NOTES.md:74

🔗

Medium External URL 外部 URL

https://x.com/user/status/123456789

RELEASE_NOTES.md:78

🔗

Medium External URL 外部 URL

https://x.com/xxx/status/xxx

SKILL.md:26

🔗

Medium External URL 外部 URL

https://twitter.com/username/status/123456789

SKILL.md:43

File Tree

3 files · 10.0 KB · 372 lines

Markdown 2f · 191L JavaScript 1f · 181L

├─ ▾ 📁 scripts

│ └─ 📜 download.mjs JavaScript 181L · 5.2 KB

├─ 📝 RELEASE_NOTES.md Markdown 110L · 2.4 KB

└─ 📝 SKILL.md Markdown 81L · 2.3 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`yt-dlp`	`*`	pip	No	无版本锁定，依赖latest；活跃项目，当前无已知漏洞

Security Positives

✓ spawn调用使用shell:false（数组形式），无命令注入风险

✓ URL验证仅限twitter.com和x.com域名

✓ 文件名消毒防止路径遍历攻击

✓ 代理URL格式验证（http/https/socks5）

✓ 错误处理完善，ENOENT时有清晰提示

✓ 无凭证收割、无数据外传、无base64/eval混淆

✓ 无访问~/.ssh、.env等敏感路径

✓ release notes主动披露了安全修复历史

Scan Report

Findings 3 items

File Tree

Dependencies 1 items

Security Positives