扫描报告
5 /100
News Brief - 新闻简报
Chinese news portal aggregation with Markdown/JSON/RSS output
Legitimate Chinese news aggregation skill with proper security controls and transparent behavior.
可以安装
No action needed. Skill is safe to use.
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | READ | ✓ 一致 | fetch.py:335 reads @file JSON input only |
| 网络访问 | READ | READ | ✓ 一致 | fetch.py:168-182 urllib.request.urlopen for HTTP fetching |
| 命令执行 | NONE | NONE | — | No subprocess or os.system calls |
| 环境变量 | NONE | READ | ✓ 一致 | Reads optional NEWS_CN_* env vars for config only |
| 技能调用 | NONE | NONE | — | No inter-skill calls |
1 高危 20 项发现
高危 IP 地址 硬编码 IP 地址
122.0.0.0 SKILL.md:31 中危 外部 URL 外部 URL
https://www.jisuapi.com SKILL.md:11 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:129 中危 外部 URL 外部 URL
https://www.36kr.com/newsflashes fetch.py:36 中危 外部 URL 外部 URL
https://www.jiqizhixin.com fetch.py:37 中危 外部 URL 外部 URL
https://www.qbitai.com fetch.py:38 中危 外部 URL 外部 URL
https://www.ithome.com fetch.py:39 中危 外部 URL 外部 URL
https://news.163.com/ fetch.py:41 中危 外部 URL 外部 URL
https://tech.163.com/ fetch.py:42 中危 外部 URL 外部 URL
https://news.sina.com.cn/ fetch.py:44 中危 外部 URL 外部 URL
https://tech.sina.com.cn/ fetch.py:45 中危 外部 URL 外部 URL
https://www.guancha.cn fetch.py:46 中危 外部 URL 外部 URL
https://www.thepaper.cn fetch.py:47 中危 外部 URL 外部 URL
https://www.solidot.org fetch.py:48 中危 外部 URL 外部 URL
https://techcrunch.com fetch.py:49 中危 外部 URL 外部 URL
https://www.theverge.com fetch.py:50 中危 外部 URL 外部 URL
https://feeds.bbci.co.uk/zhongwen/trad/rss.xml fetch.py:58 中危 外部 URL 外部 URL
https://feeds.bbci.co.uk/zhongwen/simp/rss.xml fetch.py:59 中危 外部 URL 外部 URL
https://www.solidot.org/index.rss fetch.py:60 提示 邮箱 邮箱地址
[email protected] SKILL.md:12 目录结构
2 文件 · 31.9 KB · 874 行 Python 1f · 735L
Markdown 1f · 139L
├─
fetch.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
beautifulsoup4 | * | pip | 否 | Required for HTML parsing; version not pinned in docs but standard library wrapper included |
安全亮点
✓ Uses only Python standard library + BeautifulSoup (no unknown dependencies)
✓ Blocks file:// scheme - only http(s) allowed
✓ Blocks localhost/private IPs by default via NEWS_CN_BLOCK_PRIVATE
✓ Optional domain whitelist via NEWS_CN_ALLOW_HOSTS
✓ No credential harvesting or environment variable iteration for secrets
✓ No subprocess or shell execution
✓ No data exfiltration or beaconing behavior
✓ No obfuscation (base64, eval, atob)
✓ Clear documentation of all functionality in SKILL.md
✓ Pre-scan hardcoded IP (122.0.0.0) is a false positive - it's Chrome version in User-Agent example