扫描报告
5 /100
find-everything
跨平台资源搜索编排器,搜索 skill、MCP 服务器、提示词模板、开源项目
find-everything 是一个资源搜索编排器,其内嵌的 security_scan.py 是合法的安全扫描工具,用于检测其他 skill/prompt/MCP 的安全隐患,无恶意行为。
可以安装
可以使用。该 skill 的 shell:WRITE 权限用于执行安全扫描所需的 CLI 工具(npx/gh),属于合理声明范围。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 提示 | 权限声明宽泛但合理 | SKILL.md:42 |
| 提示 | security_scan.py 自身检测到 network+shell 组合 | scripts/security_scan.py:228 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | SKILL.md:61 读取 references/registry.json |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:43-45 WebSearch/WebFetch, CLI curl/wget |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md:42 执行 npx/gh CLI 命令 |
| 技能调用 | READ | READ | ✓ 一致 | SKILL.md:51 调用 MCP tools |
11 项发现
中危 外部 URL 外部 URL
https://skills.sh references/registry.json:13 中危 外部 URL 外部 URL
https://clawhub.ai references/registry.json:35 中危 外部 URL 外部 URL
https://prompts.chat references/registry.json:47 中危 外部 URL 外部 URL
https://www.skillhub.club references/registry.json:103 中危 外部 URL 外部 URL
https://mcpservers.org references/registry.json:113 中危 外部 URL 外部 URL
https://skillsmp.com references/registry.json:123 中危 外部 URL 外部 URL
https://www.aishort.top references/registry.json:134 中危 外部 URL 外部 URL
https://nanoprompts.org references/registry.json:144 中危 外部 URL 外部 URL
https://aiart.pics references/registry.json:154 中危 外部 URL 外部 URL
https://www.localbanana.io references/registry.json:164 中危 外部 URL 外部 URL
https://aiskillsshow.com references/registry.json:174 目录结构
5 文件 · 35.0 KB · 1074 行 Python 1f · 426L
Markdown 2f · 242L
Text 1f · 223L
JSON 1f · 183L
├─
▾
references
│ ├─
known_skills.txt
Text
│ ├─
registry.json
JSON
│ └─
security-checklist.md
Markdown
├─
▾
scripts
│ └─
security_scan.py
Python
└─
SKILL.md
Markdown
安全亮点
✓ security_scan.py 是高质量的开源安全扫描工具,覆盖 11 类安全检测
✓ SKILL.md 文档详细,声明了完整的执行流程和权限需求
✓ 包含 11 个外部 URL 的 IOCs 是 registry.json 配置数据,非实际调用
✓ 不访问 ~/.ssh、~/.aws、~/.env 等敏感路径
✓ 不使用 base64 编码或零宽字符混淆
✓ 不执行 curl|bash 或 wget|sh 远程脚本执行
✓ 不包含 prompt injection 指令