mragent Security Report — Low Risk | ClawSafe

20 /100

mragent

LLM-powered automated Mendelian Randomization for causal discovery in biomedical research

MRAgent是合法的生物医学MR分析工具，代码质量良好，无恶意行为。唯一风险是README中包含远程脚本安装命令。

Skill Namemragent

Duration40.2s

Enginepi

✓

Safe to install

可信任使用。建议从README中移除 `curl | sh` 命令，改为更安全的安装指南。

Findings 3 items

Severity	Finding	Location
Medium	README包含远程脚本执行 README.md第58行包含 `curl -fsSL https://ollama.com/install.sh \| sh` 命令用于安装Ollama。这是一种危险的安装模式，但属于用户操作指引而非代码自动执行。 `curl -fsSL https://ollama.com/install.sh \| sh` → 建议改为更安全的安装方式：1) 使用包管理器安装；2) 或分步下载验证后执行	`mrmrmr/README.md:58`
Low	IDE配置文件包含硬编码IP .idea/deployment.xml中硬编码了IP 172.25.18.14，属于开发环境配置，非运行时风险。 `172.25.18.14` → 在.gitignore中排除IDE配置文件	`mrmrmr/.idea/deployment.xml:33`
Low	API密钥处理代码接受AI_key和gwas_token作为参数，但不存储或外传，仅用于必要的API调用。 `openai_api_key = openAI_key` → 最佳实践：可添加环境变量回退支持	`mrmrmr/mragent/LLM.py:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	SKILL.md声明需要pip install和R包安装
Network	`READ`	`READ`	✓ Aligned	仅访问PubMed、OpenGWAS、LLM API
Shell	`WRITE`	`WRITE`	✓ Aligned	仅调用 Rscript 执行MR分析，范围明确

1 Critical 1 High 37 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -fsSL https://ollama.com/install.sh | sh

mrmrmr/README.md:58

📡

High IP Address 硬编码 IP 地址

172.25.18.14

mrmrmr/.idea/deployment.xml:33

🔗

Medium External URL 外部 URL

http://www.apache.org/licenses/

mrmrmr/LICENSE.txt:3

🔗

Medium External URL 外部 URL

http://www.apache.org/licenses/LICENSE-2.0

mrmrmr/LICENSE.txt:195

🔗

Medium External URL 外部 URL

https://doi.org/10.1093/bib/bbaf140

mrmrmr/README.md:2

🔗

Medium External URL 外部 URL

https://doi.org/10.5281/zenodo.14184396

mrmrmr/README.md:2

🔗

Medium External URL 外部 URL

https://huggingface.co/spaces/xuwei1997/MRAgent

mrmrmr/README.md:2

🔗

Medium External URL 外部 URL

https://p1bvxbwjxl0.feishu.cn/docx/L0ogdoDs5ofjIux6W6gct8E4nyd?from=from_copylink

mrmrmr/README.md:2

🔗

Medium External URL 外部 URL

https://www.python.org/

mrmrmr/README.md:27

🔗

Medium External URL 外部 URL

https://www.anaconda.com/download

mrmrmr/README.md:28

🔗

Medium External URL 外部 URL

https://www.r-project.org/

mrmrmr/README.md:30

🔗

Medium External URL 外部 URL

https://platform.openai.com/docs/overview

mrmrmr/README.md:47

🔗

Medium External URL 外部 URL

https://markdown.com.cn

mrmrmr/README.md:53

🔗

Medium External URL 外部 URL

https://ollama.com/install.sh

mrmrmr/README.md:58

🔗

Medium External URL 外部 URL

https://api.opengwas.io/

mrmrmr/README.md:66

🔗

Medium External URL 外部 URL

https://www.dropbox.com/s/5la7y38od95swcf/rf.rdata?dl=0

mrmrmr/README.md:102

🔗

Medium External URL 外部 URL

https://www.strobe-mr.org/

mrmrmr/README.md:125

🔗

Medium External URL 外部 URL

https://utexas.box.com/s/vkd36n197m8klbaio3yzoxsee6sxo11v

mrmrmr/README.md:133

🔗

Medium External URL 外部 URL

https://www.flaticon.com/

mrmrmr/README.md:279

🔗

Medium External URL 外部 URL

https://api.gpt.ge/v1/

mrmrmr/agent_workflow_demo.py:11

🔗

Medium External URL 外部 URL

https://gwas.mrcieu.ac.uk/datasets/?trait__icontains=

mrmrmr/mragent/agent_tool.py:170

🔗

Medium External URL 外部 URL

https://www.ncbi.nlm.nih.gov/research/bionlp/RESTful/pmcoa.cgi/BioC_json/[ID

mrmrmr/mragent/agent_tool.py:235

🔗

Medium External URL 外部 URL

https://www.ncbi.nlm.nih.gov/research/bionlp/RESTful/pmcoa.cgi/BioC_json/

mrmrmr/mragent/agent_tool.py:236

🔗

Medium External URL 外部 URL

https://gwas.mrcieu.ac.uk/files/

mrmrmr/mragent/agent_tool.py:618

🔗

Medium External URL 外部 URL

https://uts-ws.nlm.nih.gov/rest/search/current?apiKey=

mrmrmr/mragent/agent_tool.py:678

🔗

Medium External URL 外部 URL

https://uts-ws.nlm.nih.gov/rest/content/current/CUI/

mrmrmr/mragent/agent_tool.py:688

🔗

Medium External URL 外部 URL

https://www.ebi.ac.uk/gwas/rest/api/studies/search

mrmrmr/mragent/agent_tool.py:716

🔗

Medium External URL 外部 URL

https://www.ebi.ac.uk/gwas/rest/api/studies/

mrmrmr/mragent/agent_tool.py:777

🔗

Medium External URL 外部 URL

https://api.finngen.fi/api/phenos

mrmrmr/mragent/agent_tool.py:794

🔗

Medium External URL 外部 URL

https://api.finngen.fi/api/phenos/

mrmrmr/mragent/agent_tool.py:847

🔗

Medium External URL 外部 URL

https://gwas-api.mrcieu.ac.uk/search

mrmrmr/mragent/agent_tool.py:864

🔗

Medium External URL 外部 URL

https://integrate.api.nvidia.com/v1

mrmrmr/step_2_test_STROBE_MR.py:85

🔗

Medium External URL 外部 URL

https://hm.baidu.com/hm.js?d8a4c130d7263e954bf9df2496e692c3

mrmrmr/web_demo.py:480

📧

Info Email 邮箱地址

[email protected]

mrmrmr/.idea/deployment.xml:5

📧

Info Email 邮箱地址

[email protected]

mrmrmr/.idea/deployment.xml:12

📧

Info Email 邮箱地址

[email protected]

mrmrmr/mragent/agent_tool.py:31

📧

Info Email 邮箱地址

[email protected]

mrmrmr/pyproject.toml:5

File Tree

33 files · 9.8 MB · 51721 lines

CSV 1f · 46398L Python 18f · 4530L Markdown 2f · 414L Text 2f · 210L XML 7f · 131L TOML 1f · 25L Ignore 1f · 8L JSON 1f · 5L

├─ ▾ 📁 mrmrmr

│ ├─ ▾ 📁 .idea

│ │ ├─ ▾ 📁 inspectionProfiles

│ │ │ ├─ 📄 profiles_settings.xml XML 5L · 174 B

│ │ │ └─ 📄 Project_Default.xml XML 34L · 1.6 KB

│ │ ├─ 📄 .gitignore Ignore 8L · 182 B

│ │ ├─ 📄 deployment.xml XML 62L · 1.9 KB

│ │ ├─ 📄 forwardedPorts.xml XML 12L · 353 B

│ │ ├─ 📄 misc.xml XML 6L · 282 B

│ │ ├─ 📄 modules.xml XML 7L · 266 B

│ │ └─ 📄 vcs.xml XML 5L · 180 B

│ ├─ ▾ 📁 mragent

│ │ ├─ 🐍 __init__.py Python 1L · 76 B

│ │ ├─ 🐍 agent_tool.py Python 921L · 31.0 KB

│ │ ├─ 🐍 agent_workflow_OE.py Python 27L · 1.5 KB

│ │ ├─ 🐍 agent_workflow.py Python 1102L · 47.0 KB

│ │ ├─ 🐍 LLM.py Python 40L · 1.3 KB

│ │ └─ 🐍 template_text.py Python 263L · 23.1 KB

│ ├─ 🐍 agent_workflow_demo.py Python 15L · 538 B

│ ├─ 🐍 agent_workflow_OE_demo.py Python 12L · 389 B

│ ├─ 📄 LICENSE.txt Text 201L · 11.1 KB

│ ├─ 📄 pyproject.toml TOML 25L · 604 B

│ ├─ 📝 README.md Markdown 278L · 15.1 KB

│ ├─ 🐍 step_1_test_out.py Python 173L · 6.2 KB

│ ├─ 🐍 step_1_test_SimCSE.py Python 163L · 5.8 KB

│ ├─ 🐍 step_2_test_STROBE_MR.py Python 91L · 3.8 KB

│ ├─ 🐍 step_2_test.py Python 80L · 2.6 KB

│ ├─ 🐍 step_5_test.py Python 144L · 4.6 KB

│ ├─ 🐍 step_9_test_out.py Python 199L · 8.5 KB

│ ├─ 🐍 step_9_test_prompt.py Python 415L · 26.2 KB

│ ├─ 🐍 step_9_test_SimCSE.py Python 83L · 2.4 KB

│ └─ 🐍 web_demo.py Python 486L · 16.3 KB

├─ 📋 _meta.json JSON 5L · 125 B

├─ 📄 opengwas.csv CSV 46398L · 9.5 MB

├─ 📄 requirements.txt Text 9L · 142 B

├─ 🐍 run_mragent.py Python 315L · 10.3 KB

└─ 📝 SKILL.md Markdown 136L · 6.5 KB

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`pandas`	`^1.4.2`	pip	No	已锁定版本
`reportlab`	`^4.0.9`	pip	No	已锁定版本
`openai`	`^1.6.1`	pip	No	已锁定版本
`biopython`	`^1.82`	pip	No	已锁定版本
`requests`	`^2.27.1`	pip	No	已锁定版本

Security Positives

✓ 代码结构清晰，无混淆或反编译迹象

✓ 凭证仅作为参数传递，不存储不外传

✓ 所有第三方依赖均有版本锁定

✓ 无凭证收割、环境变量遍历等恶意行为

✓ 网络请求仅访问合法的生物医学API

✓ R脚本执行范围明确，仅用于MR分析

✓ 完整的数据处理和PDF报告生成功能

✓ 支持多种GWAS数据源（OpenGWAS、GWAS Catalog、FinnGen、UK Biobank）

Scan Report

Findings 3 items

File Tree

Dependencies 5 items

Security Positives