中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:4 小时前 重新扫描
5 /100
twitter-video-download
Download videos from Twitter/X posts using yt-dlp
Twitter视频下载工具,功能正常,安全措施完善,文档声明与代码行为基本一致,无恶意行为证据。
技能名称twitter-video-download
分析耗时33.2s
引擎pi
ClawHub Twitter Video Download v1.0.2 by lemonpek66
📥 263 📦 2
ClawHub 判定 可疑 dangerous_execllm_suspicious
可以安装
可直接使用。

安全发现 3 项

严重性 安全发现 位置
低危
文档声明与实际行为部分不符 文档欺骗
SKILL.md安全声明'No shell execution'与实际不符:代码通过Node.js spawn调用yt-dlp子进程(shell:false配置正确,无注入风险)。release notes自披露了从shell:true到shell:false的变更历史,表明开发者知晓并修正了问题。当前实现安全,但文档措辞存在歧义。
**No shell execution**: Uses spawn with `shell: false` for security
→ 将文档改为'Uses subprocess spawn (shell:false) to execute yt-dlp',明确区分shell命令执行与子进程调用
 SKILL.md:53
低危
yt-dlp无版本锁定 供应链
SKILL.md安装说明中使用'pip install yt-dlp'无版本约束,依赖latest版本。yt-dlp为活跃维护项目风险较低,但仍存在供应链风险。
pip install yt-dlp
→ 建议固定版本:pip install yt-dlp==2024.03.10(或其他稳定版本)
 SKILL.md:8
低危
no-check-certificate选项可能弱化TLS验证 敏感访问
download.mjs:82 使用--no-check-certificate参数,虽注释表明仅在proxy场景需要,但会全局禁用SSL证书验证,存在中间人攻击风险。
'--no-check-certificate'  // Only if needed for proxy
→ 改为条件性使用:仅当检测到自签名代理时才添加此参数,或使用--proxy选项而不全局禁用证书验证
 scripts/download.mjs:82
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 SKILL.md:10-17 声明文件写入操作用于保存视频;download.mjs:98 fs.mkdirSync创建目录;download.mjs:104 …
网络访问 READ READ ✓ 一致 SKILL.md:5 声明通过yt-dlp从Twitter下载视频;download.mjs:111 spawn yt-dlp发起HTTP请求
命令执行 NONE WRITE ✓ 一致 SKILL.md:53 'No shell execution' 与代码实际不符;download.mjs:112 spawn('yt-dlp', ...) 使…
4 项发现
🔗
中危 外部 URL 外部 URL
https://x.com/username/status/123456789
RELEASE_NOTES.md:74
🔗
中危 外部 URL 外部 URL
https://x.com/user/status/123456789
RELEASE_NOTES.md:78
🔗
中危 外部 URL 外部 URL
https://x.com/xxx/status/xxx
SKILL.md:26
🔗
中危 外部 URL 外部 URL
https://twitter.com/username/status/123456789
SKILL.md:43

目录结构

3 文件 · 10.0 KB · 372 行
Markdown 2f · 191L JavaScript 1f · 181L
├─ 📁 scripts
│ └─ 📜 download.mjs JavaScript 181L · 5.2 KB
├─ 📝 RELEASE_NOTES.md Markdown 110L · 2.4 KB
└─ 📝 SKILL.md Markdown 81L · 2.3 KB

依赖分析 1 项

包名版本来源已知漏洞备注
yt-dlp * pip 无版本锁定,依赖latest;活跃项目,当前无已知漏洞

安全亮点

✓ spawn调用使用shell:false(数组形式),无命令注入风险
✓ URL验证仅限twitter.com和x.com域名
✓ 文件名消毒防止路径遍历攻击
✓ 代理URL格式验证(http/https/socks5)
✓ 错误处理完善,ENOENT时有清晰提示
✓ 无凭证收割、无数据外传、无base64/eval混淆
✓ 无访问~/.ssh、.env等敏感路径
✓ release notes主动披露了安全修复历史