github-code-analyzer Security Report — Low Risk | ClawSafe

25 /100

github-code-analyzer

使用DeepSeek AI分析GitHub仓库代码质量

GitHub代码分析工具，核心功能正常但存在硬编码API Key风险

Skill Namegithub-code-analyzer

Duration28.8s

Enginepi

✓

Safe to install

将API Key从代码中移除，改为环境变量或配置注入；添加模型minimax的实际API调用实现

Findings 2 items

Severity	Finding	Location
Medium	硬编码API凭证 Credential Theft Ark API Key直接硬编码在源代码中，分发skill时会一并泄露。若此Key有权限风险或被吊销，会影响实际使用。 `const ARK_API_KEY = "3ee94c45-6dad-4680-827c-eb3017420dff";` → 移除硬编码Key，改用 process.env.ARK_API_KEY 或让用户在环境变量中配置	`index.js:7`
Low	模型配置与实现不一致 Doc Mismatch MODELS对象声明支持 minimax 模型，但 analyzeWithDeepSeek 函数未实现对应的API调用分支，选择不存在的模型时会fallback到deepseek `'minimax': 'MiniMax-M2.2'` → 要么移除minimax配置，要么实现对应的API调用逻辑	`index.js:11`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	index.js:53-54 使用/tmp临时目录克隆和读取代码
Network	`READ`	`READ`	✓ Aligned	index.js:127 调用Ark API进行AI分析
Shell	`NONE`	`WRITE`	✓ Aligned	index.js:52 exec执行git clone，属于声明功能内的必要操作

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

API_KEY = "3ee94c45-6dad-4680-827c-eb3017420dff"

index.js:7

🔗

Medium External URL 外部 URL

https://ark.cn-beijing.volces.com/api/v3/chat/completions

index.js:134

2 files · 5.9 KB · 210 lines

JavaScript 1f · 147L Markdown 1f · 63L

├─ 📜 index.js JavaScript 147L · 4.4 KB

└─ 📝 SKILL.md Markdown 63L · 1.4 KB

Package	Version	Source	Known Vulns	Notes
`axios`	`*`	npm	No	无版本锁定，建议锁定小版本

✓ 功能实现与SKILL.md描述基本一致，无明显阴影功能

✓ 使用/tmp临时目录，清理逻辑完整

✓ Git clone操作有timeout保护(60000ms)

✓ 文件遍历有深度和数量限制，防止资源耗尽

✓ API调用有错误处理和fallback机制