发现的热门脚本
共 74 个脚本 · 2026-04-20 05:22 UTC
每天从 GitHub、GreasyFork、Gitee、GitLab 自动发现。重点收录对PM/PdM/Dev/Arch有提效价值的脚本。
| 风险 | 脚本 | 来源 | 平台 | 风险说明 |
|---|---|---|---|---|
| 🟢SAFE | Accurate Korone 2017 Userscript | 566293 | GF | 该用户脚本未检测到任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用、敏感 API 调用、供应链风险或 iframe 风险。代码结构清晰,未申请任何高权限,未加载第三方库,整体安全性极高。建议继续保持现有安全设计。 |
| 🟢SAFE | Blooket Coin and Token Hacker | 516991 10k↓ | GF | 该脚本未检测到任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用、敏感 API 调用或供应链风险。仅通过 prompt 收集用户输入并更新页面显示,没有与外部服务器通信,也未申请任何高权限。整体安全风险极低,安全评分为97分。 |
| 🟢SAFE | Ping.Sx enhancement | UserScript | GH | 该脚本功能为增强 Ping.Sx 网站的用户体验,主要实现复制 IP、清理链接和快捷回到顶部功能。代码中无任何网络请求或数据外传行为,也未采集用户隐私信息。未使用远程代码执行相关危险函数,权限申请合理且均有使用。无敏感 API 调用和代码混淆,且无外部依赖。整体安全性高,风险等级为 SAFE。 |
| 🟢SAFE | 搜索结果自动加序号 | GM_script | GH | 该脚本仅在指定搜索引擎页面为搜索结果添加序号,未涉及网络请求、隐私数据采集、远程代码执行或权限滥用,整体安全性高。 |
| 🟢SAFE | 新标签页打开链接 | UserScript | GH | 该脚本仅修改网页中链接的打开方式,强制所有链接在新标签页打开。未发现任何网络请求、用户数据读取、远程代码执行或权限滥用行为。代码清晰无混淆,且未依赖外部资源。整体安全,无隐私或安全风险。 |
| 🟢SAFE | Undiscord | 406540 553k↓ | GF | 该UserScript未发现任何数据外传或隐私采集行为,未使用远程代码执行手段,权限申请合理且无滥用,未调用敏感API,代码无混淆且无外部依赖,整体安全性高。 |
| 🟢SAFE | 智友邦论坛美化 | UserScript | GH | 该脚本仅注入CSS样式以美化智友邦论坛页面,未包含任何网络请求、用户数据读取或远程代码执行行为,且无权限滥用和敏感API调用,整体安全性高。 |
| 🟢SAFE | Undiscord | undiscord | GH | 该 UserScript 主要功能为批量删除 Discord 消息,未发现任何数据外传、隐私采集、远程代码执行或权限滥用行为,代码清晰且无混淆,未加载外部依赖,整体安全性良好。 |
| 🟢SAFE | 智谱 GLM Coding 特惠订购抢购助手 | 571507 2k↓ | GF | 该脚本主要通过劫持 JSON.parse、fetch 和 XMLHttpRequest 来修改页面返回的售罄状态数据,实现前端按钮可点击效果。未发现任何数据外传、隐私采集、远程代码执行或权限滥用行为,代码清晰无混淆,且无外部依赖。整体安全风险极低。 |
| 🟡LOW | AC-baidu: 啊猫-操作面板 | GM_script | GH | 该脚本未检测到数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用或敏感 API 调用。唯一风险为 @require 加载的第三方库未固定版本哈希,存在一定供应链风险。整体安全性较高,建议关注第三方库来源和版本固定。 |
| 🟡LOW | C.AI Custom Chat Bubbles + Bypass Chat Limit (Unlock edit message button) | 569906 3k↓ | GF | 该脚本主要用于美化 character.ai 聊天界面及绕过聊天限制。未检测到数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、敏感 API 调用等高风险行为。@require 加载的第三方库为官方 CDN 且版本固定,供应链风险较低。部分权限申请未被实际使用,建议最小化权限。整体安全风险较低,安全评分为 97。 |
| 🟡LOW | Dark Mode | UserScript | GH | 该脚本主要用于页面暗色模式切换,未检测到任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、敏感 API 调用、供应链风险或 iframe 风险。唯一风险为申请了部分未使用或高权限(GM_openInTab、GM_notification),但未被滥用。整体安全性较高,建议移除未使用权限以进一步提升安全性。 |
| 🟡LOW | Export ChatGPT/Gemini/Grok conversations as Markdown | 543471 32k↓ | GF | 该脚本未检测到任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、敏感 API 调用、供应链风险或 iframe 风险。仅存在未使用的高权限申请(GM_xmlhttpRequest、GM_openInTab),建议移除以降低潜在风险。整体安全性较高,适合公开使用。 |
| 🟡LOW | HTML5 Video Audio Default Volume | UserScript | GH | 该脚本主要功能为调整 HTML5 视频音频默认音量并记忆各网站音量设置。未发现任何数据外传、远程代码执行或权限滥用风险。脚本会使用 localStorage 和 GM_getValue/GM_setValue 存储音量相关设置,属于正常功能需求。整体代码清晰,无混淆,且无外部依赖。综合评估风险等级为低。 |
| 🟡LOW | AC-baidu: 优化百度、搜狗、谷歌搜索结果之重定向 lite | GM_script | GH | 该脚本主要通过GM_xmlhttpRequest请求百度服务器获取真实跳转地址,未发现向第三方服务器发送用户数据的行为。未采集用户隐私信息,无远程代码执行风险,权限申请合理,无敏感API滥用,代码清晰无混淆,无外部依赖。整体风险较低。 |
| 🟡LOW | Telegram Media Downloader | 446342 202k↓ | GF | 该脚本主要功能为在 Telegram Web 应用中下载受限的媒体文件。经审查,脚本未发现任何数据外传、隐私采集或远程代码执行行为,且无权限滥用和敏感API调用。代码未混淆且无外部依赖,整体安全性较高。建议继续保持最小权限原则,避免引入不必要的外部依赖。 |
| 🟡LOW | GitHub 中文化插件 | github-chinese | GH | 该脚本主要用于翻译 GitHub 页面内容,无网络请求行为,不采集用户隐私数据。存在权限滥用问题,申请了未使用的 GM_xmlhttpRequest 权限及无实际请求的 @connect 域名声明。代码未发现远程代码执行、敏感 API 调用及明显混淆。@require 来源为 GreasyFork,可信且固定版本。总体风险较低,但建议清理无用权限。 |
| 🟠MEDIUM | 🏆 [#1 Chess Assistant] A.C.A.S (Advanced Chess Assistance System) | 459137 54k↓ | GF | [MEDIUM] Supply Chain Risk: @require 加载的第三方库(LegacyGMjs.js, CommLinkjs.js, UniversalBoardDrawerjs.js)均来自 update.greasyfork.org,未固定版本哈希,存在供应链风险。 [MEDIUM] Permission Abuse: 申请了 GM_openInTab、GM_setClipboard、GM_notification、unsafeWindow 等高权限,但代码中未见明显使用,存在权限滥用风险。 |
| 🟠MEDIUM | Deadshot.io Chams & Aimbot | 572110 | GF | [MEDIUM] 权限滥用: 脚本申请了 @grant unsafeWindow 权限,但实际代码未使用 unsafeWindow,存在权限滥用风险。 [MEDIUM] 敏感 API 调用: 脚本通过 Object.defineProperty 重写 MouseEvent.prototype.movementX/Y,实现自动瞄准(aimbot),属于对用户输入的敏感操作,但未涉及数据外传。 [LOW] DOM XSS / 注入: 脚本在 document.body 直接插入 innerHTML 构建菜单 UI,但插入内容为静态字符串,未包含用户输入或 URL 参数,XSS 风险较低。 |
| 🟠MEDIUM | EasyTube V3 — Ad Skip, SponsorBlock & HD Download⬇️🚀 | 561432 4k↓ | GF | [CRITICAL] Data Transmission: Script uses GM_xmlhttpRequest to communicate with SponsorBlock API and multiple Cobalt instances for video download. These are third-party servers and may receive YouTube video IDs and possibly other metadata. [MEDIUM] Supply Chain Risk: Script connects to multiple third-party APIs (SponsorBlock, Cobalt instances). These are not official YouTube APIs and pose supply chain risk if endpoints are compromised. [LOW] Privacy Collection: Script stores user toggle settings and state using GM_setValue/GM_getValue, but does not appear to collect or transmit sensitive user data (e.g., cookies, form values, clipboard, or keyboard input). [LOW] Remote Code Execution: No evidence of eval, new Function, setTimeout(string), setInterval(string), or dynamic script injection. No @require or document.write usage. [LOW] Code Obfuscation: No code obfuscation detected. Script is readable, not minified or obfuscated. |