中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:9 hr ago Rescan
5 /100
noya-agent-skill
与 Noya AI 平台交互,用于加密货币交易、预测市场、DCA 策略及结构化数据查询
Noya Agent 技能是合法的加密货币交易与数据分析工具,代码仅执行声明的 API 调用,无越权行为。唯一瑕疵是文档中包含示例凭证字符串(明显占位符,非真实密钥)。
Skill Namenoya-agent-skill
Duration37.5s
Enginepi
Safe to install
此技能可安全使用。无需修改代码,可选择性清理文档中的示例密钥占位符文本以避免混淆。

Findings 1 items

Severity Finding Location
Info
文档中包含示例凭证占位符 Doc Mismatch
SKILL.md 第 34 行及多处配置示例中包含字符串 'noya_your_key_here',但这是明显的占位符示例文本,非真实密钥。文档中明确说明 'it is only shown once' 和 'Generate one at agent.noya.ai',表明占位符性质。
export NOYA_API_KEY="noya_your_key_here"
→ 可将该占位符改为更明显的形式如 '<YOUR_API_KEY>',或在旁加注 '(example placeholder)' 以完全消除歧义。但当前状态不构成安全威胁。
 SKILL.md:34
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned noya-message.sh:18 读取 /etc/timezone 和 /etc/localtime 用于时区
Network WRITE WRITE ✓ Aligned noya-message.sh:50 仅向 safenet.one 和 data-endpoints.noya.ai 发起 HTTPS POST 请求
Shell WRITE WRITE ✓ Aligned noya-message.sh:38 仅调用 mktemp、rm、curl、jq 等标准工具完成 API 通信
Environment READ READ ✓ Aligned noya-message.sh:30 仅读取 NOYA_API_KEY 和 TIMEZONE 两个环境变量
Clipboard NONE NONE 脚本中无任何剪贴板操作
Browser NONE NONE SKILL.md 中仅通过 shell open/xdg-open 打开 URL,无浏览器自动化
Skill Invoke NONE NONE 无嵌套调用其他技能
1 High 22 findings
🔑
High API Key 疑似硬编码凭证
API_KEY="noya_your_key_here"
SKILL.md:34
🔗
Medium External URL 外部 URL
https://agent.noya.ai
SKILL.md:4
🔗
Medium External URL 外部 URL
https://safenet.one
SKILL.md:12
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai
SKILL.md:13
🔗
Medium External URL 外部 URL
https://safenet.one/api/agents/summarize
SKILL.md:83
🔗
Medium External URL 外部 URL
https://safenet.one/api/openclaw/system-message
SKILL.md:109
🔗
Medium External URL 外部 URL
https://agent.noya.ai?mode=voice&threadIdToUse=THREAD_ID_HERE
SKILL.md:172
🔗
Medium External URL 外部 URL
https://agent.noya.ai?mode=voice
SKILL.md:178
🔗
Medium External URL 外部 URL
https://safenet.one/api/threads
SKILL.md:201
🔗
Medium External URL 外部 URL
https://safenet.one/api/threads/THREAD_ID/messages
SKILL.md:208
🔗
Medium External URL 外部 URL
https://safenet.one/api/threads/THREAD_ID
SKILL.md:215
🔗
Medium External URL 外部 URL
https://safenet.one/api/user/summary
SKILL.md:231
🔗
Medium External URL 外部 URL
https://safenet.one/api/chat/completions
SKILL.md:270
🔗
Medium External URL 外部 URL
https://safenet.one/api/chat/session/SESSION_ID
SKILL.md:280
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/coingecko/price
SKILL.md:406
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/coingecko/trending
SKILL.md:414
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/alternative/fear-greed
SKILL.md:419
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/coingecko/search
SKILL.md:426
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/santiment/social-trending
SKILL.md:510
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/moralis/wallet
SKILL.md:519
🔗
Medium External URL 外部 URL
https://data-endpoints.noya.ai/noya/polymarket/top-ev
SKILL.md:531
🔗
Medium External URL 外部 URL
https://agent.noya.ai?mode=voice&threadIdToUse=$THREAD_ID
SKILL.md:544

File Tree

3 files · 41.6 KB · 1314 lines
Markdown 2f · 1200L Shell 1f · 114L
├─ 🔧 noya-message.sh Shell 114L · 3.8 KB
├─ 📝 reference.md Markdown 601L · 14.3 KB
└─ 📝 SKILL.md Markdown 599L · 23.5 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
curl system system binary No 系统内置工具,用于 HTTPS API 通信
jq system system binary No 系统内置工具,用于 JSON 解析

Security Positives

✓ 代码行为与文档声明高度一致,无阴影功能
✓ 所有网络请求仅限于声明的两个域名(safenet.one、data-endpoints.noya.ai),无第三方通信
✓ 不访问任何本地敏感文件路径(~/.ssh、~/.aws、.env 等)
✓ 不读取非必要的环境变量(仅 NOYA_API_KEY)
✓ 不包含任何混淆代码(无 base64、eval、管道注入)
✓ 不在链上交易前强制要求用户确认(interrupt 机制)
✓ 脚本使用 mktemp + trap 确保临时文件清理
✓ 所有 curl 请求使用 HTTPS,无裸 IP 或非预期协议
✓ 依赖极简(仅 curl + jq),无复杂第三方依赖引入供应链风险