托管脚本
共 13 个脚本 · 2026-04-20 05:22 UTC · 由
target-repos.json配置,每天自动同步安全分析
| 风险 | 脚本 | 版本 | 适用网站 | 风险说明 |
|---|---|---|---|---|
| 🟢SAFE | GitHub AI 代码分析助手 | 2.8 | GitHub | 该脚本仅在 GitHub 仓库页面插入 AI 分析按钮和下拉菜单,未检测到任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用、敏感 API 调用、供应链风险或 iframe 风险。代码结构清晰,未申请任何高权限,安全性极高。 |
| 🟢SAFE | GitHub增强 - 高速下载 | 2.6.37 | GitHub、hub.whtrys.space… | 该 UserScript 仅包含元数据,无任何实际代码逻辑,因此不存在数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用、敏感 API 调用、供应链风险或 iframe 风险。安全评分为满分 100,风险等级 SAFE。 |
| 🟢SAFE | 网页枷锁破除 | 1.5.5 | 所有网站 | 该脚本仅操作页面交互限制(如右键、选择、复制、拖拽),未检测到任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用、敏感 API 调用、供应链风险或 iframe 风险。所有 @grant 权限均为本地存储、样式注入和菜单命令,无高风险行为。代码结构清晰,无混淆。安全性极高,适合公开使用。 |
| 🟢SAFE | 解除CSDN登录复制 | 2025.8.12.1 | CSDN 博客 | 该脚本仅通过前端操作解除 CSDN 网站的复制限制,不涉及任何数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS、权限滥用、敏感 API 调用、供应链风险或 iframe 风险。未检测到任何安全风险,安全评分为满分。 |
| 🟢SAFE | 骚扰拦截 | 1.5.6 | CSDN、简书… | 该脚本仅通过 DOM 操作拦截和删除骚扰元素,没有任何网络请求、隐私采集、远程代码执行、混淆、XSS 注入、权限滥用、敏感 API 调用或供应链风险。代码结构清晰,未申请任何高权限,安全性极高。 |
| 🟡LOW | CSDN优化 | 2026.4.2 | CSDN 博客 | 该脚本主要用于优化 CSDN 网页体验,屏蔽广告、自动展开内容等。未检测到数据外传、隐私采集、远程代码执行、代码混淆、DOM XSS 注入等高风险行为。@require 的第三方库均为官方 CDN 且固定版本,供应链风险较低。部分高权限申请(GM_xmlhttpRequest、unsafeWindow)未实际使用,建议移除。整体安全风险较低,建议定期复查依赖库更新。 |
| 🟡LOW | 密码显示助手 | 1.5.0 | 所有网站 | 该脚本不会将任何用户数据或密码内容发送到外部服务器,也未检测到远程代码执行、代码混淆、DOM XSS、供应链风险等高危行为。唯一的隐私风险是会将页面上的密码字段内容以明文显示,建议用户仅在安全环境下使用。整体安全性较高。 |
| 🟠MEDIUM | Magic Userscript+ :显示站点所有 UserJS | 7.6.8 | 所有HTTPS网站 | [CRITICAL] 数据外传: 脚本通过 GM_xmlhttpRequest 向 greasyfork.org、sleazyfork.org、github.com、githubusercontent.com、openuserjs.org 发起网络请求,查询当前页面可用的用户脚本。请求目标均为公开用户脚本平台,无携带敏感用户数据,仅包含当前页面 URL。 [MEDIUM] 权限滥用: 脚本申请了 GM_openInTab 权限,但实际代码中仅用于打开用户脚本详情页,无滥用行为。 [LOW] 权限申请: 脚本申请了 GM_getValue、GM_setValue、GM_info 等权限,用于本地存储和脚本信息,无敏感操作。 [LOW] 远程代码执行: 未检测到 eval、new Function、setTimeout(string)、setInterval(string) 等远程代码执行风险。 [LOW] 代码混淆: 未检测到代码混淆、字符串数组映射、base64 解码、unicode 混淆等混淆特征。 |
| 🟠MEDIUM | GitHub 中文化插件 | 1.9.3-2026-04-12 | GitHub主站、GitHub技能站… | [CRITICAL] 数据外传: 脚本使用 GM_xmlhttpRequest 向第三方翻译服务 fanyi.iflyrec.com 发送用户页面内容进行翻译,存在数据外传风险。 [CRITICAL] 隐私采集: 脚本读取并使用 GM_getValue 和 GM_setValue 存储配置,但未发现读取 document.cookie/localStorage/sessionStorage/IndexedDB 等敏感隐私数据。 [HIGH] 远程代码执行: 脚本未使用 eval、new Function、setTimeout(string)、setInterval(string) 等远程代码执行风险函数。 [HIGH] 代码混淆: 脚本未发现明显代码混淆特征,如 base64 解码执行、字符串数组映射、大量 unicode 编码或高度压缩代码。 [HIGH] DOM XSS / 注入: 脚本未发现将用户输入或 URL 参数直接插入 innerHTML/outerHTML,未使用 document.write 插入不可信内容,未操作 iframe src 为 javascript: 协议。 |
| ⛔CRITICAL | GitHub增强 - 高速下载 | 2.6.37 | GitHub、hub.whtrys.space… | [CRITICAL] 代码缺失: 无法进行完整安全审查:未提供脚本代码,仅有元数据。无法判断是否存在数据外传、隐私采集、远程代码执行等风险。 [MEDIUM] 权限滥用风险: 脚本申请了 GM_openInTab、GM_notification、GM_setClipboard 等高权限,但未提供代码无法判断实际用途。 |
| ⛔CRITICAL | Github 增强 - 高速下载 | 2.6.37 | GitHub、hub.whtrys.space… | [CRITICAL] 数据外传: 脚本通过构造下载链接,将用户请求重定向到第三方加速代理服务器(如 gh.h233.eu.org、gh-proxy.org 等),存在数据外传风险。虽然主要用于下载 Github 文件,但用户的下载行为、请求内容可能被第三方服务器记录。 [MEDIUM] 隐私采集: 脚本未检测到主动采集用户隐私数据(如 cookie、localStorage、剪贴板、表单输入等),但通过 GM_getValue/GM_setValue 存储用户配置。 [MEDIUM] 权限滥用: 脚本申请了 GM_openInTab、GM_notification、GM_setClipboard 等权限,部分权限(如 GM_openInTab)可被滥用,但实际用途为打开下载链接、通知和复制链接,未发现滥用。 [LOW] 远程代码执行: 脚本未使用 eval、new Function、setTimeout(string)、setInterval(string) 等动态代码执行方式,也未通过 innerHTML/outerHTML 插入外部脚本。 [LOW] 代码混淆: 脚本未检测到代码混淆、base64 解码、字符串映射或高度压缩代码。 |
| ⛔CRITICAL | 🏷️ 小鱼标签 (UTags) - 为链接添加用户标签 | 0.34.2 | V2EX、X (Twitter)… | [CRITICAL] 数据外传: @connect * 允许任意域名的数据传输,存在严重数据外传风险。脚本可通过 GM_xmlhttpRequest/GM.xmlHttpRequest 向任何第三方服务器发送数据。 [CRITICAL] 数据外传: 脚本申请了 GM.xmlHttpRequest 和 GM_xmlhttpRequest 权限,结合 @connect *,可实现任意数据外传。 [HIGH] 隐私采集: 脚本申请了 GM.getValue, GM.setValue, GM.deleteValue, GM.addValueChangeListener 等权限,可能涉及用户数据存储和同步,若结合网络请求可导致隐私泄露。 [HIGH] 远程代码执行: 脚本申请了 GM_addElement 权限,可能用于动态插入脚本或内容,需关注远程代码执行风险。 [HIGH] 未知风险: 脚本未提供完整代码,无法审查实际数据采集、远程代码执行、DOM XSS、混淆等行为,存在未知风险。 |
| ⬜UNKNOWN | GitHub仓库目录树生成器 | 1.1 | GitHub | 无已知风险 |