扫描报告
5 /100
run-coach
Science-based running coach with HD visual training plans and Garmin sync
run-coach 技能是一个合法的跑步教练工具,所有能力均符合文档声明,无恶意行为。
可以安装
可直接使用。该技能功能清晰,权限声明准确,代码无越权操作。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md:98 明确声明 exec 运行脚本 |
| 文件系统 | READ | READ | ✓ 一致 | 所有文件操作均为本地读写,无越权 |
| 网络访问 | NONE | READ | ✓ 一致 | 仅访问 Telegram API,符合功能需求 |
2 项发现
中危 外部 URL 外部 URL
https://api.telegram.org/bot$ training/send-album.mjs:18 提示 邮箱 邮箱地址
[email protected] garmin/garmin-sync.py:37 目录结构
9 文件 · 31.7 KB · 925 行 Python 2f · 473L
Markdown 2f · 228L
JavaScript 2f · 116L
Shell 2f · 103L
JSON 1f · 5L
├─
▾
garmin
│ ├─
garmin-query.py
Python
│ └─
garmin-sync.py
Python
├─
▾
training
│ ├─
screenshot.mjs
JavaScript
│ ├─
send-album.mjs
JavaScript
│ ├─
send-plan.sh
Shell
│ └─
text-to-image.sh
Shell
├─
_meta.json
JSON
├─
MEMORY.md
Markdown
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
garminconnect | * | pip | 否 | 无版本锁定但为可信开源库 |
playwright-core | * | npm | 否 | 预装依赖,按需使用 |
安全亮点
✓ 权限声明准确:Bash用于执行预定义脚本,Read用于本地文件
✓ 代码质量高:garmin-query.py 使用纯标准库,无第三方依赖
✓ 凭证使用范围明确:TELEGRAM/GARMIN凭证仅用于各自API调用
✓ 数据流向清晰:所有数据保存在本地JSON,无外传行为
✓ 文档详细:明确说明Garmin Connect为非官方API,用户需自担风险
✓ token缓存本地化:garth token存储在.garth目录,符合安全实践