中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 22/100
上次扫描:9 小时前 重新扫描
22 /100
aagent-system
多智能体自动化系统,用于AI Agent技能样本采集、安全扫描、威胁情报收集和研究分析
合法AI技能采集与安全扫描系统,具备本地样本管理和安全检测能力,存在少量影子功能(动态启动进程、依赖外部脚本)但不构成明确威胁。
技能名称aagent-system
分析耗时98.8s
引擎pi
可以安装
可谨慎使用。建议验证外部脚本(~/aass-scripts/)来源,限制evolover agent的动态进程启动权限,添加外部脚本内容的白名单校验。

安全发现 4 项

严重性 安全发现 位置
中危
依赖未声明的外部脚本 供应链
scanner/analyzer/researcher三个agent执行~/aass-scripts/和~/aass-dataset/目录下的外部shell脚本,但SKILL.md未声明这些依赖。
exec('~/aass-dataset/secure_dataset.sh scan 2>&1',{timeout:180000}
→ 将外部脚本内容内联或声明来源验证机制
 agents/scanner/agent.cjs:10, agents/analyzer/agent.cjs:7, agents/researcher/agent.cjs:7:10
中危
Evolver agent影子功能:动态进程启动 权限提升
Evolver agent在检测到效率不足时会自动通过exec启动新的collector进程,数量可控但属于未声明的权限提升行为。
exec(`AGENT_NAME=collector...node agents/collector/agent.cjs > /dev/null 2>&1 &`)
→ 在SKILL.md中声明自动扩缩容能力,限制最大进程数
 agents/evolver/agent.cjs:76:76
低危
文档未声明进程管理能力 文档欺骗
SKILL.md仅声明4个功能,但实际包含完整的orchestrator多进程管理系统,包括健康检查、自动恢复、阈值触发等能力。
启动所有必要角色、监控健康状态、阈值触发研究者、故障自动恢复
→ 补充完整的架构文档
 SKILL.md, agents/orchestrator/agent.cjs:1
低危
恶意样本关键词搜索 敏感访问
collector包含stealer/keylogger/miner等恶意关键词用于样本检测,这可能是合法的安全扫描行为,但也可能被用于其他目的。
'stealer', 'keylogger', 'miner', 'cryptominer', 'trojan', 'backdoor', 'rat'
→ 确认此行为符合用户授权的安全研究范围
 agents/collector/agent.cjs:18:18
资源类型声明权限推断权限状态证据
文件系统 NONE WRITE ✓ 一致 agents/collector/agent.cjs:50 所有agent均写入data/目录JSON文件
网络访问 NONE READ ✓ 一致 agents/collector/agent.cjs:36 仅访问registry.npmjs.com和npmmirror.com
命令执行 NONE WRITE ✗ 越权 agents/evolver/agent.cjs:76 exec动态启动新采集器进程
环境变量 NONE READ ✓ 一致 agents/collector/agent.cjs:8 读取AGENT_NAME等环境变量
技能调用 NONE WRITE ✓ 一致 agents/orchestrator/agent.cjs:52 启动researcher agent实现跨技能调用
80 项发现
🔗
中危 外部 URL 外部 URL
https://registry.npmjs.com/-/v1/search?text=$
agents/collector/agent.cjs:76
🔗
中危 外部 URL 外部 URL
https://modelcontextprotocol.io
data/samples.json:87
🔗
中危 外部 URL 外部 URL
https://help.obsidian.md/cli
data/samples.json:87
🔗
中危 外部 URL 外部 URL
https://obsidian.md
data/samples.json:120
🔗
中危 外部 URL 外部 URL
https://badge.fury.io/js/cdk-monitoring-constructs.svg
data/samples.json:471
🔗
中危 外部 URL 外部 URL
https://badge.fury.io/js/cdk-monitoring-constructs
data/samples.json:471
🔗
中危 外部 URL 外部 URL
https://maven-badges.herokuapp.com/maven-central/io.github.cdklabs/cdkmonitoringconstructs/badge.svg
data/samples.json:471
🔗
中危 外部 URL 外部 URL
https://cobe.vercel.app
data/samples.json:482
🔗
中危 外部 URL 外部 URL
http://www.pulumi.com/images/docs/badges/slack.svg
data/samples.json:548
🔗
中危 外部 URL 外部 URL
https://slack.pulumi.com
data/samples.json:548
🔗
中危 外部 URL 外部 URL
https://badge.fury.io/js/%40pulumi%2fdocker-build.svg
data/samples.json:548
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@pulumi/docker-build
data/samples.json:548
🔗
中危 外部 URL 外部 URL
https://badge.fury.io/p
data/samples.json:548
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/ccxt
data/samples.json:779
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@smithy/core/latest.svg
data/samples.json:834
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@smithy/core
data/samples.json:834
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@smithy/core.svg
data/samples.json:834
🔗
中危 外部 URL 外部 URL
https://redocly.com
data/samples.json:1273
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/docs
data/samples.json:1294
🔗
中危 外部 URL 外部 URL
https://react.dev/
data/samples.json:1305
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dw/%40google%2Fgenai
data/samples.json:1316
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@google/genai
data/samples.json:1316
🔗
中危 外部 URL 外部 URL
https://img.shields.io/node/v/%40google%2Fgenai
data/samples.json:1316
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/openai
data/samples.json:1327
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/google-generative-ai
data/samples.json:1349
🔗
中危 外部 URL 外部 URL
https://ai.google/discover/generativeai/
data/samples.json:1349
🔗
中危 外部 URL 外部 URL
https://badge.fury.io/js/orval.svg
data/samples.json:1393
🔗
中危 外部 URL 外部 URL
https://badge.fury.io/js/orval
data/samples.json:1393
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/License-MIT-yellow.svg
data/samples.json:1393
🔗
中危 外部 URL 外部 URL
https://opensource.org/licenses/MIT
data/samples.json:1393
🔗
中危 外部 URL 外部 URL
https://travis-ci.org/stefanpenner/get-caller-file.svg?branch=master
data/samples.json:2327
🔗
中危 外部 URL 外部 URL
https://travis-ci.org/stefanpenner/get-caller-file
data/samples.json:2327
🔗
中危 外部 URL 外部 URL
https://ci.appveyor.com/api/projects/status/ol2q94g1932cy14a/branch/master?svg=true
data/samples.json:2327
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@nx-extend/terraform\
data/samples.json:2745
🔗
中危 外部 URL 外部 URL
https://badgen.net/npm/v/@nx-extend/terraform\
data/samples.json:2745
🔗
中危 外部 URL 外部 URL
https://vim.colefoster.ca/demo
data/samples.json:3207
🔗
中危 外部 URL 外部 URL
https://serverless.com
data/samples.json:3295
🔗
中危 外部 URL 外部 URL
https://gitpod.io/button/open-in-gitpod.svg
data/samples.json:3383
🔗
中危 外部 URL 外部 URL
https://gitpod.io/#https://github.com/ryanrosello-og/playwright-slack-report
data/samples.json:3383
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/anthropic
data/samples.json:3537
🔗
中危 外部 URL 外部 URL
https://docs.anthropic.com/claude/reference/messages_post
data/samples.json:3537
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/xai
data/samples.json:3559
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/google-vertex
data/samples.json:3581
🔗
中危 外部 URL 外部 URL
https://cloud.google.com/vertex-ai
data/samples.json:3581
🔗
中危 外部 URL 外部 URL
https://openrouter.ai/
data/samples.json:3603
🔗
中危 外部 URL 外部 URL
https://sdk.vercel.ai/docs
data/samples.json:3603
🔗
中危 外部 URL 外部 URL
https://svelte.dev/
data/samples.json:3614
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/deepseek
data/samples.json:3636
🔗
中危 外部 URL 外部 URL
https://www.deepseek.com
data/samples.json:3636
🔗
中危 外部 URL 外部 URL
https://vuejs.org/
data/samples.json:3647
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/azure
data/samples.json:3658
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/mistral
data/samples.json:3669
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/amazon-bedrock
data/samples.json:3680
🔗
中危 外部 URL 外部 URL
https://docs.aws.amazon.com/bedrock/latest/APIR
data/samples.json:3680
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/groq
data/samples.json:3713
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@aws-sdk/middleware-user-agent/latest.svg
data/samples.json:3955
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@aws-sdk/middleware-user-agent
data/samples.json:3955
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@aws-sdk/middleware-user-agent.svg
data/samples.json:3955
🔗
中危 外部 URL 外部 URL
https://www.npmjs.c
data/samples.json:3955
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@aws-sdk/middleware-logger/latest.svg
data/samples.json:3988
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@aws-sdk/middleware-logger
data/samples.json:3988
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@aws-sdk/middleware-logger.svg
data/samples.json:3988
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@
data/samples.json:3988
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@aws-sdk/middleware-sdk-s3/latest.svg
data/samples.json:3999
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@aws-sdk/middleware-sdk-s3
data/samples.json:3999
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@aws-sdk/middleware-sdk-s3.svg
data/samples.json:3999
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@aws-sdk/middleware-host-header/latest.svg
data/samples.json:4010
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@aws-sdk/middleware-host-header
data/samples.json:4010
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@aws-sdk/middleware-host-header.svg
data/samples.json:4010
🔗
中危 外部 URL 外部 URL
https://www.npmj
data/samples.json:4010
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@aws-sdk/util-user-agent-node/latest.svg
data/samples.json:4043
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@aws-sdk/util-user-agent-node
data/samples.json:4043
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@aws-sdk/util-user-agent-node.svg
data/samples.json:4043
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/
data/samples.json:4043
🔗
中危 外部 URL 外部 URL
https://coveralls.io/repos/github/131/docker-sdk/badge.svg?branch=ma
data/samples.json:4064
🔗
中危 外部 URL 外部 URL
https://metorial.com
data/samples.json:4372
🔗
中危 外部 URL 外部 URL
https://ai-sdk.dev/providers/ai-sdk-providers/cohere
data/samples.json:4383
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/@aws-sdk/middleware-recursion-detection/latest.svg
data/samples.json:5134
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/@aws-sdk/middleware-recursion-detection
data/samples.json:5134
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/dm/@aws-sdk/middleware-recursion-detectio
data/samples.json:5134

目录结构

20 文件 · 356.5 KB · 16576 行
JSON 5f · 14889L JavaScript 12f · 1442L Markdown 3f · 245L
├─ 📁 agents
│ ├─ 📁 analyzer
│ │ └─ 📜 agent.cjs JavaScript 21L · 560 B
│ ├─ 📁 collector
│ │ └─ 📜 agent.cjs JavaScript 167L · 5.1 KB
│ ├─ 📁 designer
│ │ └─ 📜 agent.cjs JavaScript 207L · 7.4 KB
│ ├─ 📁 evolver
│ │ └─ 📜 agent.cjs JavaScript 250L · 7.1 KB
│ ├─ 📁 fast-scanner
│ │ └─ 📜 agent.cjs JavaScript 118L · 3.1 KB
│ ├─ 📁 hyper-collector
│ │ └─ 📜 agent.cjs JavaScript 115L · 3.3 KB
│ ├─ 📁 orchestrator
│ │ └─ 📜 agent.cjs JavaScript 143L · 3.9 KB
│ ├─ 📁 perf-monitor
│ │ └─ 📜 agent.cjs JavaScript 116L · 2.8 KB
│ ├─ 📁 researcher
│ │ └─ 📜 agent.cjs JavaScript 21L · 552 B
│ ├─ 📁 scanner
│ │ └─ 📜 agent.cjs JavaScript 22L · 626 B
│ ├─ 📁 ultra-collector
│ │ └─ 📜 agent.cjs JavaScript 154L · 4.3 KB
│ └─ 🔑 config.json JSON 8777L · 137.2 KB
├─ 📁 bin
│ └─ 📜 agent-manager.cjs JavaScript 108L · 4.5 KB
├─ 📁 data
│ ├─ 📋 design.json JSON 74L · 1.6 KB
│ ├─ 📋 orchestrator-stats.json JSON 50L · 896 B
│ ├─ 📋 perf-stats.json JSON 19L · 360 B
│ └─ 📋 samples.json JSON 5969L · 165.3 KB
├─ 📝 ARCHITECTURE.md Markdown 155L · 6.2 KB
├─ 📝 SKILL.md Markdown 60L · 1.2 KB
└─ 📝 TARGET.md Markdown 30L · 506 B

依赖分析 1 项

包名版本来源已知漏洞备注
node (内置) N/A system 仅使用Node.js内置模块,无第三方依赖

安全亮点

✓ 数据完全本地存储,无网络外泄风险
✓ 代码结构清晰,注释完整
✓ 仅访问可信的npm registry来源
✓ 具备完整的安全检测逻辑
✓ 无凭证收割或数据窃取行为
✓ 无base64编码或代码混淆