Scan Report
5 /100
run-coach
Science-based running coach with HD visual training plans and Garmin sync
run-coach 技能是一个合法的跑步教练工具,所有能力均符合文档声明,无恶意行为。
Safe to install
可直接使用。该技能功能清晰,权限声明准确,代码无越权操作。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Shell | WRITE | WRITE | ✓ Aligned | SKILL.md:98 明确声明 exec 运行脚本 |
| Filesystem | READ | READ | ✓ Aligned | 所有文件操作均为本地读写,无越权 |
| Network | NONE | READ | ✓ Aligned | 仅访问 Telegram API,符合功能需求 |
2 findings
Medium External URL 外部 URL
https://api.telegram.org/bot$ training/send-album.mjs:18 Info Email 邮箱地址
[email protected] garmin/garmin-sync.py:37 File Tree
9 files · 31.7 KB · 925 lines Python 2f · 473L
Markdown 2f · 228L
JavaScript 2f · 116L
Shell 2f · 103L
JSON 1f · 5L
├─
▾
garmin
│ ├─
garmin-query.py
Python
│ └─
garmin-sync.py
Python
├─
▾
training
│ ├─
screenshot.mjs
JavaScript
│ ├─
send-album.mjs
JavaScript
│ ├─
send-plan.sh
Shell
│ └─
text-to-image.sh
Shell
├─
_meta.json
JSON
├─
MEMORY.md
Markdown
└─
SKILL.md
Markdown
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
garminconnect | * | pip | No | 无版本锁定但为可信开源库 |
playwright-core | * | npm | No | 预装依赖,按需使用 |
Security Positives
✓ 权限声明准确:Bash用于执行预定义脚本,Read用于本地文件
✓ 代码质量高:garmin-query.py 使用纯标准库,无第三方依赖
✓ 凭证使用范围明确:TELEGRAM/GARMIN凭证仅用于各自API调用
✓ 数据流向清晰:所有数据保存在本地JSON,无外传行为
✓ 文档详细:明确说明Garmin Connect为非官方API,用户需自担风险
✓ token缓存本地化:garth token存储在.garth目录,符合安全实践