扫描报告
5 /100
Dev & Deploy
快速创建并部署 Web 应用到 Cloudflare Pages;包含文件覆盖、Git推送与系统修改的安全确认机制
Dev & Deploy 是一个标准的 Web 应用开发部署工具,仅包含声明的功能:本地项目创建、GitHub 仓库创建、Cloudflare Pages 部署及访问测试。无任何恶意行为或阴影功能。
可以安装
可直接使用。遵循 SKILL.md 中声明的安全确认流程即可。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | deploy.js:275 fs.mkdirSync, deploy.js:295 fs.writeFileSync, deploy.js:309 fs.cpS… |
| 命令执行 | WRITE | WRITE | ✓ 一致 | deploy.js:44 execSync, deploy.js:49 execFileSync 调用 git/gh/wrangler CLI,SKILL.md… |
| 环境变量 | READ | READ | ✓ 一致 | deploy.js:109 读取 CLOUDFLARE_API_TOKEN, deploy.js:108 读取 DEV_DEPLOY_CONFIG 等,SKIL… |
| 网络访问 | READ | READ | ✓ 一致 | deploy.js:467 fetch(url) 仅用于部署后访问测试,目标是 pages.dev 域名 |
| 技能调用 | NONE | NONE | — | 无跨技能调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器操作 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
2 项发现
中危 外部 URL 外部 URL
https://dash.cloudflare.com/profile/api-tokens SKILL.md:62 中危 外部 URL 外部 URL
https://developers.cloudflare.com/fundamentals/api/get-started/create-token/ SKILL.md:63 目录结构
2 文件 · 26.2 KB · 917 行 JavaScript 1f · 765L
Markdown 1f · 152L
├─
deploy.js
JavaScript
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
node (child_process built-in) | bundled | Node.js runtime | 否 | 使用 Node.js 内置模块 fs, os, path, readline, child_process, fetch,无外部依赖 |
安全亮点
✓ SKILL.md 包含详细的安全确认流程,明确要求用户授权才能执行高危操作
✓ 要求项目名称必须通过 --name 传入,禁止自动推断或编造
✓ 文件覆盖、远程推送、系统依赖安装等高危操作前必须征得用户同意
✓ 提供 --skip-github、--skip-deploy 等安全兜底选项
✓ 错误处理完善,提供失败恢复指引
✓ 无任何 base64 编码、eval、混淆等反分析技术
✓ 无凭证收割、远程代码执行、反向 shell 等恶意行为
✓ 网络请求仅限于部署后的合法访问测试
✓ 环境变量仅用于配置读取,不外传任何敏感信息
✓ 所有 CLI 命令 (git/gh/wrangler) 均为部署工具的正常使用