Skill Trust Decision
code-right
代码本身仅实现简单的API POST调用,但SKILL.md声称的浏览器截图、文档生成等核心功能完全依赖外部服务器(softcraft.cloud),存在文档-行为重大不符且远程服务端意图不明。
Most direct threat evidence
01
用户/Agent阅读SKILL.md,被其完整功能描述和合规技术栈所迷惑 Entry · SKILL.md
02
用户运行python scripts/create_task.py --system-name "XX核心系统" --notify-email "[email protected]",触发数据外传 Escalation · scripts/create_task.py
03
系统名称(可能含商业机密)和邮箱被POST到https://softcraft.cloud/api/tasks/,服务端行为完全黑盒 Impact · scripts/create_task.py
Why this conclusion was reached
2/4 dimensions flagged Block
Declared vs actual capability
1 undeclared or violating capabilities were inferred.
Review
Hidden execution and egress
1 lower-risk artifacts were extracted and still need context.
Block
Attack chain and severe findings
The report includes 4 attack-chain steps and 2 severe findings.
Review
Dependencies and supply chain hygiene
Dependency information is incomplete, so supply-chain confidence stays limited.
Attack Chain
01
用户/Agent阅读SKILL.md,被其完整功能描述和合规技术栈所迷惑
Entry · SKILL.md:1
02
用户运行python scripts/create_task.py --system-name "XX核心系统" --notify-email "[email protected]",触发数据外传
Escalation · scripts/create_task.py:37
03
系统名称(可能含商业机密)和邮箱被POST到https://softcraft.cloud/api/tasks/,服务端行为完全黑盒
Impact · scripts/create_task.py:43
04
(潜在)服务器端收集足够用户系统信息后可进行社工攻击、撞库或数据倒卖
Impact · N/A
What drove the risk score up
文档-行为重大不符(影子功能级别) +20
SKILL.md声称Playwright浏览器截图、docxtpl渲染Word文档、AI生成系统描述等全部核心能力,但scripts/create_task.py仅做API POST,核心逻辑全部在远程服务器softcraft.cloud上执行,代码本身几乎无实质功能
数据外传至外部不可验证服务端 +15
将用户系统名称和邮箱POST到https://softcraft.cloud/api/tasks/,无端到端加密验证,接收方行为完全黑盒,数据用途不明
文档声明宽泛且含误导性技术栈 +5
技术栈列出Flask/LangChain/Playwright等,暗示本地具备这些能力,实际代码仅用标准库urllib,无任何第三方依赖
代码本身风险极低 +-10
脚本仅55行纯标准库,无subprocess、无shell、无凭证访问、无混淆,本地代码层面干净
无恶意行为直接证据 +-5
代码未实现任何收割凭证、远程执行、数据窃取逻辑,无法确认服务器端行为
Most important evidence
High Doc Mismatch
文档声称的核心功能完全未在本地实现
SKILL.md详细描述了Playwright浏览器截图、docxtpl模板渲染Word文档、AI生成系统描述、ZIP打包、邮件发送等完整工作流,但scripts/create_task.py仅55行代码,仅向https://softcraft.cloud/api/tasks/ POST两个字符串。所有核心功能逻辑均在远程服务器上运行,完全无法验证。
scripts/create_task.py:1 要求开发者提供完整本地实现,或明确告知用户数据发送至外部服务器并获得明确同意
High Data Exfil
用户数据发送至外部不可验证服务端
用户提供的系统名称(可能含商业机密)和邮箱被直接POST到https://softcraft.cloud/api/tasks/。服务器行为完全黑盒:数据如何存储、是否二次传播、是否有C2通信等均不可知。
scripts/create_task.py:43 要求本地处理或使用端到端加密;明确披露数据流向和处理方
Medium Doc Mismatch
技术栈声明具有误导性
SKILL.md技术栈列出'Python Flask + LangChain + LangGraph'、'Playwright'、'python-docx + docxtpl'、'MySQL'、'Docker'等,暗示本地具备这些能力并需要相应权限。但实际代码仅使用Python标准库,无任何第三方依赖,无法完成声称的任何功能。
SKILL.md:75 删除误导性技术栈声明,改为说明实际调用远程API
Low Priv Escalation
权限声明与实际能力不符
声明需要browser:WRITE(Playwright截图)、filesystem:WRITE(文档生成),但代码既不读写文件系统也不操作浏览器。声明的权限超出实际需要10倍以上。
SKILL.md:1 根据最小权限原则,仅声明network:WRITE即可运行
Declared capability vs actual capability
Filesystem Pass
Declared WRITE
→ Inferred NONE
SKILL.md声明'ZIP打包'、'Word文档输出'暗示文件系统WRITE能力,但scripts/create_task.py无任何文件写入操作 Browser Block
Declared WRITE
→ Inferred NONE
SKILL.md声称'Playwright真实浏览器截图',scripts/create_task.py无任何浏览器操作 Network Pass
Declared READ
→ Inferred WRITE
scripts/create_task.py:43 urllib.request.urlopen POST数据到外部API,符合WRITE能力 Shell Pass
Declared NONE
→ Inferred NONE
无subprocess/shell调用 Suspicious artifacts and egress
Medium External URL
https://softcraft.cloud SKILL.md:15
Dependencies and supply chain
There are no structured dependency warnings.
File composition
2 files · 170 lines
Markdown 1 files · 115 linesPython 1 files · 55 lines
Files of concern · 2
SKILL.md 技术栈声明具有误导性 · 权限声明与实际能力不符 · https://softcraft.cloud
scripts/create_task.py 文档声称的核心功能完全未在本地实现 · 用户数据发送至外部不可验证服务端
Security positives
代码本身无恶意行为:无subprocess、无shell调用、无凭证访问
无混淆代码:无base64、无eval、无动态代码生成
无硬编码凭证或敏感路径访问
脚本逻辑简单清晰,易于审查