中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 25/100
上次扫描:2 天前 重新扫描
25 /100
income-lab
收入实验与执行系统,帮助用户系统地尝试各种合法赚钱方式、记录实验过程、分析效果、持续优化策略
存在硬编码API密钥和文档未声明的支付模块影子功能,但整体为合法收入追踪工具,无恶意行为证据。
技能名称income-lab
分析耗时40.3s
引擎pi
可以安装
建议将 payment.py 中的 API key 改为环境变量引用,补充 SKILL.md 中的支付功能说明。风险可控,可使用但需注意凭证管理。

安全发现 4 项

严重性 安全发现 位置
中危
硬编码 API 密钥
payment.py:12 将 billing API key 以明文常量形式硬编码在源码中,而非从环境变量读取。这使得密钥可能被意外泄露到代码仓库。
BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"
→ 改为 os.environ.get('SKILLPAY_API_KEY') 方式读取,并删除默认值
 payment.py:12
中危
影子功能 - 未声明的支付集成
SKILL.md 完全没有提及 payment.py 及其 SkillPay 扣费机制,用户在不知情的情况下被扣费。_meta.json 声明了 payment 配置但 SKILL.md 文档层缺失,属于典型影子功能。
SKILL.md 全文无 'payment'/'billing'/'扣费'/'SkillPay' 等关键词,但 payment.py 实现了完整的付费验证流程
→ 在 SKILL.md 核心功能章节中增加支付说明段落
 SKILL.md:1
中危
依赖包无版本锁定
requirements.txt 中 pandas、numpy、matplotlib 使用通配符 >= 依赖,可能引入含有已知漏洞的版本。
pandas>=2.0.0
numpy>=1.24.0
matplotlib>=3.7.0
→ 锁定具体版本号,如 pandas==2.0.3
 requirements.txt:1
低危
脚本文件引用但不存在
SKILL.md 工具清单中提到 income_analyzer.py 和 strategy_generator.py,但 scripts/ 目录下实际不存在这两个文件。
- `income_analyzer.py` - 收入数据分析
- `strategy_generator.py` - 策略建议生成
→ 补充缺失脚本或从文档中移除对应条目
 SKILL.md:85
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 experiment_tracker.py:41-44 创建 ~/.income-lab 目录写入 JSON 数据,与文档'实验追踪'声明一致
网络访问 NONE WRITE ✗ 越权 payment.py:28-68 发起 POST/GET 请求到 skillpay.me 扣费/查余额,SKILL.md 全文未声明任何网络操作
环境变量 NONE READ ✗ 越权 payment.py:71 读取 SKILLPAY_USER_ID 环境变量,experiment_tracker.py 读取 os.environ 相关路径,…
命令执行 NONE NONE 未发现 subprocess/eval/os.system 等 shell 执行调用
1 高危 2 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"
payment.py:12
🔗
中危 外部 URL 外部 URL
https://skillpay.me
payment.py:11

目录结构

8 文件 · 38.7 KB · 1286 行
Markdown 3f · 632L Python 3f · 626L JSON 1f · 19L Text 1f · 9L
├─ 📁 references
│ ├─ 📝 income-methods.md Markdown 169L · 5.3 KB
│ └─ 📝 retrospective-framework.md Markdown 213L · 3.7 KB
├─ 📁 scripts
│ ├─ 🐍 experiment_tracker.py Python 287L · 10.7 KB
│ └─ 🐍 weekly_reporter.py Python 197L · 7.3 KB
├─ 📋 _meta.json JSON 19L · 431 B
├─ 🐍 payment.py Python 142L · 5.2 KB
├─ 📄 requirements.txt Text 9L · 133 B
└─ 📝 SKILL.md Markdown 250L · 6.0 KB

依赖分析 4 项

包名版本来源已知漏洞备注
pandas >=2.0.0 pip 无版本锁定
numpy >=1.24.0 pip 无版本锁定
matplotlib >=3.7.0 pip 无版本锁定
python-dateutil >=2.8.0 pip 无版本锁定

安全亮点

✓ 整体代码结构清晰,无反调试或混淆
✓ 未发现 base64/eval/远程 shell 执行等高危模式
✓ 网络请求仅指向单一已知域名 skillpay.me,无境外 IP 直连
✓ 文件系统操作局限于 ~/.income-lab 目录,范围受限
✓ 未访问 ~/.ssh、~/.aws、.env 等高敏感路径
✓ 凭证仅用于目标服务的合法鉴权,未被外传