中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 28/100
上次扫描:2 天前 重新扫描
28 /100
security-defense-line
安全防线 - 全方位安全防护与威胁防御系统,提供智能合约审计、钱包检测、交易验证、钓鱼防护等功能
Skill核心功能为区块链安全工具的模拟实现,payment.py中硬编码API Key是透明度问题但非恶意行为,无实际攻击链。
技能名称security-defense-line
分析耗时37.9s
引擎pi
可以安装
移除硬编码API Key改用环境变量;SKILL.md补充billing模块说明;建议审查第三方依赖版本锁定。

安全发现 4 项

严重性 安全发现 位置
中危
硬编码API凭证
payment.py中硬编码了BILLING_API_KEY,应使用环境变量注入以避免泄露风险
BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"
→ 使用os.environ.get('SKILLPAY_API_KEY')从环境变量读取
 payment.py:12
中危
文档未声明的支付模块
payment.py实现了SkillPay计费功能,但SKILL.md完全未提及此模块的存在和实际行为
"""\nSkillPay Billing Integration\n自动集成付费验证功能\n"""
→ 在SKILL.md中添加支付/计费模块说明,或在_meta.json中声明billing相关权限
 payment.py:1
低危
第三方依赖无版本锁定
代码使用了requests库但未发现requirements.txt,存在依赖版本不确定性
import requests
→ 创建requirements.txt并锁定requests版本,如requests>=2.28.0
 payment.py:7
提示
外部API域名可配置性
BILLING_API_URL硬编码为https://skillpay.me,可考虑配置文件管理
BILLING_API_URL = "https://skillpay.me"
→ 可使用环境变量或配置文件,便于切换测试环境
 payment.py:13
资源类型声明权限推断权限状态证据
文件系统 NONE READ ✓ 一致 脚本仅用于生成本地报告(如audit_report.json),符合声明的安全审计功能
网络访问 NONE WRITE ✗ 越权 payment.py:35-70 发起POST请求到skillpay.me进行扣费,SKILL.md未声明此网络行为
命令执行 NONE NONE 未发现subprocess/os.system等shell执行调用
环境变量 NONE READ ✓ 一致 payment.py:69 仅读取SKILLPAY_USER_ID用于计费,未遍历敏感环境变量
1 高危 22 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"
payment.py:12
🔗
中危 外部 URL 外部 URL
https://suspicious-site.com
SKILL.md:106
🔗
中危 外部 URL 外部 URL
https://skillpay.me
payment.py:11
🔗
中危 外部 URL 外部 URL
https://swcregistry.io/
references/contract-auditing.md:238
🔗
中危 外部 URL 外部 URL
https://consensys.github.io/smart-contract-best-practices/
references/contract-auditing.md:239
🔗
中危 外部 URL 外部 URL
https://docs.openzeppelin.com/contracts/
references/contract-auditing.md:240
🔗
中危 外部 URL 外部 URL
https://www.certora.com/
references/contract-auditing.md:241
🔗
中危 外部 URL 外部 URL
https://swcregistry.io/docs/SWC-107
scripts/contract_auditor.py:160
🔗
中危 外部 URL 外部 URL
https://consensys.github.io/smart-contract-best-practices/attacks/reentrancy/
scripts/contract_auditor.py:161
🔗
中危 外部 URL 外部 URL
https://swcregistry.io/docs/SWC-104
scripts/contract_auditor.py:164
🔗
中危 外部 URL 外部 URL
https://swcregistry.io/docs/SWC-115
scripts/contract_auditor.py:167
🔗
中危 外部 URL 外部 URL
https://docs.soliditylang.org/en/v0.8.0/080-breaking-changes.html
scripts/contract_auditor.py:190
💰
中危 钱包地址 加密货币钱包地址
0x1111111111111111111111111111111111111111
scripts/multisig_manager.py:51
💰
中危 钱包地址 加密货币钱包地址
0x2222222222222222222222222222222222222222
scripts/multisig_manager.py:52
💰
中危 钱包地址 加密货币钱包地址
0x3333333333333333333333333333333333333333
scripts/multisig_manager.py:53
🔗
中危 外部 URL 外部 URL
https://uniswap.org
scripts/phishing_detector.py:316
🔗
中危 外部 URL 外部 URL
https://uniswop.org
scripts/phishing_detector.py:317
🔗
中危 外部 URL 外部 URL
https://claim-free-tokens.xyz
scripts/phishing_detector.py:318
🔗
中危 外部 URL 外部 URL
https://ethereum.org
scripts/phishing_detector.py:319
💰
中危 钱包地址 加密货币钱包地址
0x7a250d5630B4cF539739dF2C5dAcb4c659F2488D
scripts/tx_validator.py:314
💰
中危 钱包地址 加密货币钱包地址
0x0000000000000000000000000000000000000000
scripts/wallet_guardian.py:37
💰
中危 钱包地址 加密货币钱包地址
0xdead00000000000000000000000000000000dead
scripts/wallet_guardian.py:38

目录结构

10 文件 · 87.2 KB · 2745 行
Python 7f · 2081L Markdown 2f · 645L JSON 1f · 19L
├─ 📁 references
│ └─ 📝 contract-auditing.md Markdown 245L · 6.3 KB
├─ 📁 scripts
│ ├─ 🐍 contract_auditor.py Python 324L · 11.2 KB
│ ├─ 🐍 incident_responder.py Python 321L · 10.5 KB
│ ├─ 🐍 multisig_manager.py Python 327L · 10.5 KB
│ ├─ 🐍 phishing_detector.py Python 339L · 11.5 KB
│ ├─ 🐍 tx_validator.py Python 336L · 11.2 KB
│ └─ 🐍 wallet_guardian.py Python 292L · 10.2 KB
├─ 📋 _meta.json JSON 19L · 442 B
├─ 🐍 payment.py Python 142L · 5.2 KB
└─ 📝 SKILL.md Markdown 400L · 10.2 KB

依赖分析 1 项

包名版本来源已知漏洞备注
requests * pip 无版本锁定,建议指定最小版本

安全亮点

✓ 核心脚本为区块链安全工具的合理模拟实现,无恶意代码
✓ 未发现凭证收割行为(遍历环境变量匹配敏感关键字)
✓ 未发现远程代码执行(curl|bash管道、eval等)
✓ 未发现数据外泄(向第三方IP发送用户凭证)
✓ 钓鱼检测、钱包扫描等功能符合安全工具定位
✓ 网络请求仅用于合法的计费API调用