安全决策报告
AI Agent Skills Workspace
多个技能包含硬编码敏感凭证(API Key、App Secret),存在凭证泄露风险;部分脚本存在命令注入潜在风险
最直接的威胁证据
高危
InStreet API Key 硬编码泄露 skills/instreet/config.json、skills/instreet/scripts/config.json、instreet-config.json 包含真实的 InStreet API Key,攻击者可用此凭证冒充 Agent 身份
skills/instreet/config.json:4 为什么得出这个结论
3/4 个维度触发 阻止
声明与实际能力
发现 1 项声明之外的能力或越权行为。
阻止
隐藏执行与外联
提取到 3 个高危 IOC 或外联信号。
阻止
攻击链与高危发现
报告包含 0 步攻击链,另有 2 项高危或严重发现。
复核
依赖与供应链卫生
发现 2 项需要关注的依赖或供应链线索。
风险分是怎么被拉高的
InStreet API Key 硬编码 +20
skills/instreet/config.json 等3处文件包含真实 API Key sk_inst_c7acbeabd3c0c24acac6afb98db3828d
飞书 App Secret 泄露 +15
feishu-bitable-saver.mjs 包含真实 app_secret
潜在的命令注入 +10
run-with-proxy.sh 使用 eval 执行命令,generate-report.mjs execAsync 参数转义不完整
硬编码 IP 地址 +5
SOUL.md 硬编码 IP 115.190.250.10
Elite-Longterm-Memory rm 命令 +5
文档中的 rm -rf 写法存在误读风险
最关键的证据
高危
InStreet API Key 硬编码泄露
skills/instreet/config.json、skills/instreet/scripts/config.json、instreet-config.json 包含真实的 InStreet API Key,攻击者可用此凭证冒充 Agent 身份
skills/instreet/config.json:4 从配置文件移除 api_key,改为从环境变量读取:process.env.INSTREET_API_KEY
高危
飞书 App Secret 硬编码泄露
feishu-bitable-saver.mjs 包含真实的飞书应用 app_secret,可用于获取 tenant_access_token
skills/hiic-industry-daily-report/scripts/feishu-bitable-saver.mjs:37 从配置文件移除 app_secret,改为从环境变量读取
中危
run-with-proxy.sh 使用 eval
脚本使用 eval $CMD 执行命令,如果关键词包含特殊字符可能导致命令注入
skills/hiic-industry-daily-report/scripts/run-with-proxy.sh:40 使用数组方式构建命令,避免 eval:node "$SCRIPT_DIR/generate-report-v7.1.mjs" --keywords "$KEYWORDS" ...
中危
generate-report.mjs 翻译命令注入风险
使用 execAsync 执行 translate 命令时,虽有基本转义但不够完整
skills/hiic-industry-daily-report/scripts/generate-report.mjs:30 使用更安全的转义方式或使用 Node.js 原生翻译库
中危
tech-news-digest 凭证访问声明
tech-news-digest 使用 gh CLI 和 GitHub App 进行认证,如果配置不当可能访问其他凭证
skills/tech-news-digest/scripts/fetch-github.py:189 虽然声明了不会读取 ~/.ssh 等文件,但应明确限制 gh CLI 的凭证来源
低危
SOUL.md 硬编码 IP 地址
硬编码 IP 115.190.250.10 而非域名,可能指向已停用的服务器
SOUL.md:59 使用域名或动态发现机制
低危
Elite-Longterm-Memory rm 命令误读风险
文档中的 rm -rf ~/.openclaw/memory/lancedb/ 写法可能被误读为 rm -rf ~
skills/Elite-Longterm-Memory/SKILL.md:293 添加更多上下文说明,明确是删除特定目录而非 home 目录
声明能力 vs 实际能力
文件系统 通过
声明 WRITE
→ 推断 WRITE
SKILL.md 声明写入 memory/ 目录 网络访问 通过
声明 READ
→ 推断 WRITE
多个 SKILL.md 声明使用 API 进行网络请求 命令执行 阻止
声明 NONE
→ 推断 WRITE
tech-news-digest, hiic-industry-daily-report, instreet 使用 subprocess/shell 命令 可疑产物与外联
严重 危险命令
rm -rf ~ skills/Elite-Longterm-Memory/SKILL.md:293
高危 IP 地址
115.190.250.10 SOUL.md:59
高危 API 密钥
API_KEY="your_anthropic_key" skills/translate-cli/references/quickstart.md:9
中危 外部 URL
http://115.190.250.10:19000 SOUL.md:59
中危 外部 URL
https://feishu.cn/docx/EKn6dmGxsoj4SZxJEbOciyIVnNf UPDATE-APPROVAL-GUARD-PUBLISH.md:45
中危 外部 URL
https://feishu.cn/docx/ZU8ZdvND0oHV79xSVe1cbqeinrd UPDATE-APPROVAL-GUARD-PUBLISH.md:46
中危 外部 URL
https://docs.clawhub.com UPDATE-APPROVAL-GUARD-PUBLISH.md:105
中危 外部 URL
https://docs.openclaw.ai UPDATE-APPROVAL-GUARD-PUBLISH.md:106
中危 外部 URL
https://api.z.ai/api/mcp/zread/mcp config/mcporter.json:4
中危 外部 URL
https://api.z.ai/api/mcp/web_search_prime/mcp config/mcporter.json:10
中危 外部 URL
https://ucn19uuu5wk8.feishu.cn/base/JFWebb76KaFd7as501ac3UIDnxb docs/industry_news_README.md:51
中危 外部 URL
https://instreet.coze.site instreet-config.json:9
依赖与供应链
| 包名 | 版本 | 来源 | 漏洞 | 备注 |
|---|---|---|---|---|
| requests | * | pip | 否 | 无版本锁定 |
| feedparser | >=6.0.0 | pip | 否 | 可选依赖 |
| undici | * | npm | 否 | hiic-industry-daily-report 使用 |
文件构成
279 个文件 · 41547 行
Markdown 124 个文件 · 19847 行Python 27 个文件 · 7903 行JSON 79 个文件 · 5655 行JavaScript 21 个文件 · 5137 行Shell 18 个文件 · 2582 行Text 6 个文件 · 252 行
需关注文件 · 8
skills/instreet/config.json InStreet API Key 硬编码泄露
skills/instreet/scripts/config.json skills/tech-news-digest/config/defaults/sources.json https://simonwillison.net/atom/everything/ · https://garymarcus.substack.com/feed · https://huggingface.co/blog/feed.xml · https://magazine.sebastianraschka.com/feed · https://lilianweng.github.io/index.xml · https://gwern.substack.com/feed · https://www.dwarkeshpatel.com/feed · https://minimaxir.com/index.xml · https://blog.google/technology/ai/rss/ · https://vitalik.eth.limo/feed.xml · https://www.coindesk.com/arc/outboundfeeds/rss/ · https://www.theblock.co/rss.xml · https://decrypt.co/feed · https://cointelegraph.com/rss · https://hnrss.org/frontpage · https://feeds.arstechnica.com/arstechnica/index · https://techcrunch.com/feed/ · https://www.theverge.com/rss/index.xml · https://krebsonsecurity.com/feed/ · https://daringfireball.net/feeds/main · http://www.aaronsw.com/2002/feeds/pgessays.rss · https://www.troyhunt.com/rss/ · http://antirez.com/rss · https://mitchellh.com/feed.xml · https://geohot.github.io/blog/feed.xml · https://www.reddit.com/r/MachineLearning/.rss · https://36kr.com/feed · https://www.jiqizhixin.com/rss · https://www.qbitai.com/feed · https://www.infoq.cn/feed · https://www.technologyreview.com/feed · https://venturebeat.com/category/ai/feed/ · https://www.404media.co/rss · https://aisnakeoil.substack.com/feed · https://blog.bytebytego.com/feed · https://blogs.nvidia.com/feed/ · https://deepmind.google/blog/rss.xml · https://www.producthunt.com/feed · https://messari.io/rss · https://thedefiant.io/feed · https://www.ifanr.com/feed · https://sspai.com/feed · https://www.wired.com/feed/rss · https://spectrum.ieee.org/feeds/feed.rss · https://www.bensbites.com/feed · https://the-decoder.com/feed/ · https://a16zcrypto.substack.com/feed · https://newsletter.banklesshq.com/feed · https://overreacted.io/rss.xml · https://eli.thegreenplace.net/feeds/all.atom.xml · https://matklad.github.io/feed.xml · https://lucumr.pocoo.org/feed.atom · https://devblogs.microsoft.com/oldnewthing/feed · https://rachelbythebay.com/w/atom.xml · https://xeiaso.net/blog.rss · https://pluralistic.net/feed/ · https://lcamtuf.substack.com/feed · https://buttondown.com/hillelwayne/rss · https://dynomight.net/feed.xml · https://www.geoffreylitt.com/feed.xml · https://fabiensanglard.net/rss.xml
skills/tech-news-digest/scripts/fetch-twitter.py https://api.x.com/2 · https://api.twitterapi.io · https://api.getxapi.com · https://twitter.com/
skills/hiic-industry-daily-report/scripts/generate-report.mjs generate-report.mjs 翻译命令注入风险 · https://api.search.brave.com/res/v1/web/search
scripts/industry_daily_news.mjs https://api.search.brave.com/res/v1/web/search?q=$
skills/tech-news-digest/scripts/fetch-github.py tech-news-digest 凭证访问声明
skills/tech-news-digest/SKILL.md https://myblog.com/rss
其他文件 · merge-sources.py · fetch-web.py · CHANGELOG.md · SKILL.md
安全亮点
tech-news-digest 脚本安全性设计良好,subprocess 参数不包含用户输入
多个技能有详细的安全文档说明凭证访问范围
大部分 API Key 通过环境变量声明,而非硬编码
tech-news-digest 有完整的测试套件和 CHANGELOG 安全更新记录