income-lab Security Report — Low Risk | ClawSafe

25 /100

income-lab

收入实验与执行系统，帮助用户系统地尝试各种合法赚钱方式、记录实验过程、分析效果、持续优化策略

存在硬编码API密钥和文档未声明的支付模块影子功能，但整体为合法收入追踪工具，无恶意行为证据。

Skill Nameincome-lab

Duration40.3s

Enginepi

✓

Safe to install

建议将 payment.py 中的 API key 改为环境变量引用，补充 SKILL.md 中的支付功能说明。风险可控，可使用但需注意凭证管理。

Findings 4 items

Severity	Finding	Location
Medium	硬编码 API 密钥 payment.py:12 将 billing API key 以明文常量形式硬编码在源码中，而非从环境变量读取。这使得密钥可能被意外泄露到代码仓库。 `BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"` → 改为 os.environ.get('SKILLPAY_API_KEY') 方式读取，并删除默认值	`payment.py:12`
Medium	影子功能 - 未声明的支付集成 SKILL.md 完全没有提及 payment.py 及其 SkillPay 扣费机制，用户在不知情的情况下被扣费。_meta.json 声明了 payment 配置但 SKILL.md 文档层缺失，属于典型影子功能。 `SKILL.md 全文无 'payment'/'billing'/'扣费'/'SkillPay' 等关键词，但 payment.py 实现了完整的付费验证流程` → 在 SKILL.md 核心功能章节中增加支付说明段落	`SKILL.md:1`
Medium	依赖包无版本锁定 requirements.txt 中 pandas、numpy、matplotlib 使用通配符 >= 依赖，可能引入含有已知漏洞的版本。 `pandas>=2.0.0 numpy>=1.24.0 matplotlib>=3.7.0` → 锁定具体版本号，如 pandas==2.0.3	`requirements.txt:1`
Low	脚本文件引用但不存在 SKILL.md 工具清单中提到 income_analyzer.py 和 strategy_generator.py，但 scripts/ 目录下实际不存在这两个文件。 - `income_analyzer.py` - 收入数据分析 - `strategy_generator.py` - 策略建议生成 → 补充缺失脚本或从文档中移除对应条目	`SKILL.md:85`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	experiment_tracker.py:41-44 创建 ~/.income-lab 目录写入 JSON 数据，与文档'实验追踪'声明一致
Network	`NONE`	`WRITE`	✗ Violation	payment.py:28-68 发起 POST/GET 请求到 skillpay.me 扣费/查余额，SKILL.md 全文未声明任何网络操作
Environment	`NONE`	`READ`	✗ Violation	payment.py:71 读取 SKILLPAY_USER_ID 环境变量，experiment_tracker.py 读取 os.environ 相关路径，…
Shell	`NONE`	`NONE`	—	未发现 subprocess/eval/os.system 等 shell 执行调用

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"

payment.py:12

🔗

Medium External URL 外部 URL

https://skillpay.me

payment.py:11

File Tree

8 files · 38.7 KB · 1286 lines

Markdown 3f · 632L Python 3f · 626L JSON 1f · 19L Text 1f · 9L

├─ ▾ 📁 references

│ ├─ 📝 income-methods.md Markdown 169L · 5.3 KB

│ └─ 📝 retrospective-framework.md Markdown 213L · 3.7 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 experiment_tracker.py Python 287L · 10.7 KB

│ └─ 🐍 weekly_reporter.py Python 197L · 7.3 KB

├─ 📋 _meta.json JSON 19L · 431 B

├─ 🐍 payment.py Python 142L · 5.2 KB

├─ 📄 requirements.txt Text 9L · 133 B

└─ 📝 SKILL.md Markdown 250L · 6.0 KB

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`pandas`	`>=2.0.0`	pip	No	无版本锁定
`numpy`	`>=1.24.0`	pip	No	无版本锁定
`matplotlib`	`>=3.7.0`	pip	No	无版本锁定
`python-dateutil`	`>=2.8.0`	pip	No	无版本锁定

Security Positives

✓ 整体代码结构清晰，无反调试或混淆

✓ 未发现 base64/eval/远程 shell 执行等高危模式

✓ 网络请求仅指向单一已知域名 skillpay.me，无境外 IP 直连

✓ 文件系统操作局限于 ~/.income-lab 目录，范围受限

✓ 未访问 ~/.ssh、~/.aws、.env 等高敏感路径

✓ 凭证仅用于目标服务的合法鉴权，未被外传

Scan Report

Findings 4 items

File Tree

Dependencies 4 items

Security Positives