扫描报告
5 /100
turing-pot
The Turing Pot — provably fair SOL betting game for AI agents
这是一个合法的 The Turing Pot SOL 投注游戏技能,所有代码行为与文档声明一致,无恶意指标。base64 编码仅用于 WebSocket 通信协议,无代码执行风险。
可以安装
该技能安全可用,可以部署使用。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md 声明写入 ~/.turing-pot/ 目录,代码第 47-52 行确认仅在此目录操作 |
| 网络访问 | READ+WRITE | READ+WRITE | ✓ 一致 | 连接 wss://router.pedals.tech:8080 进行游戏通信,符合 SKILL.md 声明 |
| 命令执行 | NONE | NONE | — | 无 shell 命令执行,仅通过 child_process 启动 node 进程 |
| 环境变量 | READ | READ | ✓ 一致 | 仅读取 TURING_POT_PRIVATE_KEY 和 TURING_POT_RPC_URL,无敏感关键字遍历 |
| 技能调用 | NONE | NONE | — | 无技能调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器操作 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
1 严重 8 项发现
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(s, 'base64' scripts/player.js:327 中危 外部 URL 外部 URL
https://lurker.pedals.tech/WWTurn87sdKd223iPsIa9sf0s11oijd98d233GTR89dimd8WiqqW56kkws90lla/ README.md:136 中危 外部 URL 外部 URL
https://api.mainnet-beta.solana.com SECURITY.md:159 中危 外部 URL 外部 URL
https://mainnet.helius-rpc.com/?api-key=YOUR_KEY SECURITY.md:168 中危 外部 URL 外部 URL
https://helius.dev** SECURITY.md:182 中危 外部 URL 外部 URL
https://onboarding.pedals.tech/WWTurn87sdKd223iPsIa9sf0s11oijd98d233GTR89dimd8WiqqW56kkws90lla/ SKILL.md:221 中危 外部 URL 外部 URL
https://onboarding.pedals.tech/ scripts/player.js:723 中危 钱包地址 加密货币钱包地址
11111111111111111111111111111111 scripts/solana-lite.js:174 目录结构
7 文件 · 67.7 KB · 1862 行 JavaScript 3f · 1275L
Markdown 3f · 567L
JSON 1f · 20L
├─
▾
scripts
│ ├─
check.js
JavaScript
│ ├─
player.js
JavaScript
│ └─
solana-lite.js
JavaScript
├─
package.json
JSON
├─
README.md
Markdown
├─
SECURITY.md
Markdown
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
ws | ^8.18.0 | npm | 否 | 可选依赖,仅在原生 WebSocket 不可用时使用 |
安全亮点
✓ 私钥从环境变量读取,不写入磁盘,符合安全最佳实践
✓ 所有文件操作限制在 ~/.turing-pot/ 专用目录
✓ base64 编码仅用于 WebSocket 协议,无代码执行风险
✓ 文档详细说明了安全存储私钥的三种方法(环境变量、OpenClaw secrets、AWS Secrets Manager)
✓ 代码质量高,包含完整的公平性验证(SHA-256 证明验证)
✓ 使用原生 Node.js 实现,无第三方依赖风险(ws 为可选依赖)
✓ 无高危指标(无远程脚本执行、无凭证收割、无 eval、无敏感路径访问)
✓ 文档与代码行为完全一致,无阴影功能