中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:3 hr ago Rescan
5 /100
castreader
Read any web page aloud with natural AI voices. Extract article text from any URL and convert it to audio (MP3).
CastReader 是一个合法的文本转语音(Text-to-Speech)工具,功能为从 URL 提取内容并生成 MP3 音频。预扫描发现的 IOC 均为误报:Base64 解码用于 TTS API 返回的音频数据,131.0.0.0 是占位符 IP。代码无恶意行为,无阴影功能,文档与实现完全一致。
Skill Namecastreader
Duration34.8s
Enginepi
ClawHub Castreader Openclaw Skill v2.1.1 by vinxu
📥 278 📦 1
ClawHub Verdict Suspicious dangerous_execenv_credential_accesspotential_exfiltrationvt_suspicious
Safe to install
无需修改,可直接使用。建议锁定 puppeteer 依赖版本以提升供应链稳定性。

Findings 3 items

Severity Finding Location
Low
puppeteer 依赖无版本锁定 Supply Chain
package.json 中 puppeteer 版本为 ^23.0.0,允许自动升级到次版本或修订版本,可能引入非预期变更
"puppeteer": "^23.0.0"
→ 建议固定版本:"puppeteer": "23.0.0"
 package.json:12
Info
Base64 音频解码(误报) Obfuscation
预扫描标记 Buffer.from(audioBase64, 'base64') 为代码混淆。经分析,这是 TTS API 返回音频数据的标准解码方式,非恶意代码混淆
Buffer.from(audioBase64, 'base64')
→ 无需操作,已确认为合法用途
 scripts/generate-paragraph.js:94
Info
硬编码 IP 地址(误报) Sensitive Access
预扫描标记 131.0.0.0 为硬编码 IP。经分析,代码中未使用该 IP 进行实际网络通信,为占位符
无实际使用
→ 无需操作,已确认为占位符
 scripts/extract.js:42
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned read-url.js:67 fs.readFileSync
Network READ READ ✓ Aligned generate-text.js:45 fetch to CASTREADER_API_URL
Shell NONE NONE 无 shell 执行
1 Critical 1 High 16 findings
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(audioBase64, 'base64'
scripts/generate-paragraph.js:94
📡
High IP Address 硬编码 IP 地址
131.0.0.0
scripts/extract.js:42
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-blue
README.md:3
🔗
Medium External URL 外部 URL
https://clawhub.com/castreader
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/License-MIT-green.svg
README.md:4
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/platform-macOS%20%7C%20Linux%20%7C%20Windows-lightgrey
README.md:5
🔗
Medium External URL 外部 URL
https://en.wikipedia.org/wiki/Text-to-speech
README.md:46
🔗
Medium External URL 外部 URL
https://notion.so/my-page
README.md:99
🔗
Medium External URL 外部 URL
https://chromewebstore.google.com/detail/castreader-tts-reader/foammmkhpbeladledijkdljlechlclpb
README.md:102
🔗
Medium External URL 外部 URL
http://api.castreader.ai:8123
README.md:134
🔗
Medium External URL 外部 URL
https://castreader.ai
README.md:161
🔗
Medium External URL 外部 URL
https://castreader.ai/openclaw
README.md:162
🔗
Medium External URL 外部 URL
https://microsoftedge.microsoft.com/addons/detail/niidajfbelfcgnkmnpcmdlioclhljaaj
README.md:164
🔗
Medium External URL 外部 URL
https://www.patreon.com/feross
package-lock.json:248
🔗
Medium External URL 外部 URL
https://feross.org/support
package-lock.json:252
🔗
Medium External URL 外部 URL
https://alistapart.com/blog/post/successful-or-unsuccessful-the-post-good-design-vocabulary/
scripts/demo.js:58

File Tree

11 files · 84.4 KB · 2592 lines
JSON 2f · 1222L JavaScript 6f · 1028L Markdown 3f · 342L
├─ 📁 references
│ └─ 📝 castreader-api.md Markdown 76L · 2.2 KB
├─ 📁 scripts
│ ├─ 📜 demo.js JavaScript 169L · 4.7 KB
│ ├─ 📜 extract.js JavaScript 87L · 2.3 KB
│ ├─ 📜 generate-paragraph.js JavaScript 155L · 4.6 KB
│ ├─ 📜 generate-text.js JavaScript 123L · 3.3 KB
│ ├─ 📜 read-aloud.js JavaScript 280L · 9.3 KB
│ └─ 📜 read-url.js JavaScript 214L · 6.2 KB
├─ 📋 package-lock.json JSON 1208L · 42.3 KB
├─ 📋 package.json JSON 14L · 391 B
├─ 📝 README.md Markdown 169L · 6.4 KB
└─ 📝 SKILL.md Markdown 97L · 2.8 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
puppeteer ^23.0.0 npm No 无版本锁定,建议固定版本

Security Positives

✓ 文档与实现完全一致,无阴影功能
✓ 无敏感文件路径访问(~/.ssh、~/.aws、.env 等)
✓ 无凭证收割或环境变量遍历
✓ 无远程代码执行或反向 shell
✓ 无数据外泄或 C2 通信
✓ API 端点可配置,支持自托管
✓ 使用 fetch API 而非 curl/bash 管道