github-code-analyzer 安全扫描报告 — 低风险 | ClawSafe

25 /100

github-code-analyzer

使用DeepSeek AI分析GitHub仓库代码质量

GitHub代码分析工具，核心功能正常但存在硬编码API Key风险

技能名称github-code-analyzer

分析耗时28.8s

引擎pi

✓

可以安装

将API Key从代码中移除，改为环境变量或配置注入；添加模型minimax的实际API调用实现

安全发现 2 项

严重性	安全发现	位置
中危	硬编码API凭证凭证窃取 Ark API Key直接硬编码在源代码中，分发skill时会一并泄露。若此Key有权限风险或被吊销，会影响实际使用。 `const ARK_API_KEY = "3ee94c45-6dad-4680-827c-eb3017420dff";` → 移除硬编码Key，改用 process.env.ARK_API_KEY 或让用户在环境变量中配置	`index.js:7`
低危	模型配置与实现不一致文档欺骗 MODELS对象声明支持 minimax 模型，但 analyzeWithDeepSeek 函数未实现对应的API调用分支，选择不存在的模型时会fallback到deepseek `'minimax': 'MiniMax-M2.2'` → 要么移除minimax配置，要么实现对应的API调用逻辑	`index.js:11`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	index.js:53-54 使用/tmp临时目录克隆和读取代码
网络访问	`READ`	`READ`	✓ 一致	index.js:127 调用Ark API进行AI分析
命令执行	`NONE`	`WRITE`	✓ 一致	index.js:52 exec执行git clone，属于声明功能内的必要操作

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY = "3ee94c45-6dad-4680-827c-eb3017420dff"

index.js:7

🔗

中危外部 URL 外部 URL

https://ark.cn-beijing.volces.com/api/v3/chat/completions

index.js:134

2 文件 · 5.9 KB · 210 行

JavaScript 1f · 147L Markdown 1f · 63L

├─ 📜 index.js JavaScript 147L · 4.4 KB

└─ 📝 SKILL.md Markdown 63L · 1.4 KB

包名	版本	来源	已知漏洞	备注
`axios`	`*`	npm	否	无版本锁定，建议锁定小版本

✓ 功能实现与SKILL.md描述基本一致，无明显阴影功能

✓ 使用/tmp临时目录，清理逻辑完整

✓ Git clone操作有timeout保护(60000ms)

✓ 文件遍历有深度和数量限制，防止资源耗尽

✓ API调用有错误处理和fallback机制