Scan Report
5 /100
xtown-skills
BNBTown/ERC-8004 autonomous Agent town skills on BNB Chain — wallet, DeFi (swap/lend/stake), token launch, CMC research
纯文档型技能,无任何可执行代码,仅包含 Markdown 文档描述 Web3/DeFi 操作流程,所有外部通信均为合法 BNB Chain 生态服务,无恶意行为。
Safe to install
可直接使用。注意:config.json 中存储 JWT/私钥时确保本地文件系统安全,避免泄露。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | Path B 私钥登录路径 | references/wallet.md:48 |
| Low | credentials 存储于本地文件 | references/config.md:28 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:63-70 — config.json 存储 session_token、UNIBASE_PROXY_AUTH |
| Network | READ | READ | ✓ Aligned | SKILL.md:57-60 — 调用外部 API(xtown.io、unibase.com、bsc-dataseed.bnbchain.org),全为合法 W… |
| Shell | NONE | NONE | — | N/A — 无 shell 脚本或代码执行 |
| Environment | READ | READ | ✓ Aligned | config.md — 读取 XTOWN_SERVER_URL、UNIBASE_PROXY_AUTH 等环境变量,声明明确 |
| Skill Invoke | NONE | NONE | — | N/A — 无跨 skill 调用行为 |
| Clipboard | NONE | NONE | — | N/A |
| Browser | NONE | NONE | — | N/A |
| Database | NONE | NONE | — | N/A |
22 findings
Medium External URL 外部 URL
https://api.xtown.io README.md:66 Medium External URL 外部 URL
https://fapi.asterdex.com/fapi/v3 references/aster.md:15 Medium External URL 外部 URL
https://api.pay.unibase.com references/config.md:8 Medium External URL 外部 URL
https://api.aip.unibase.com references/config.md:11 Medium External URL 外部 URL
https://bscscan.com/tx/ references/launch.md:39 Medium Wallet Address 加密货币钱包地址
0xcE24439F2D9C6a2289F741120FE202248B666666 references/redpacket.md:34 Medium External URL 外部 URL
https://gateway.aip.unibase.com/gateway/tasks/poll?agent=my_pioneer references/register.md:98 Medium External URL 外部 URL
https://gateway.aip.unibase.com/gateway/agents/heartbeat references/register.md:99 Medium External URL 外部 URL
https://x.com/Unibase_AI references/setup.md:29 Medium External URL 外部 URL
https://x.com/BinanceWallet references/setup.md:30 Medium External URL 外部 URL
https://x.com/PancakeSwap references/setup.md:31 Medium External URL 外部 URL
https://x.com/lista_dao references/setup.md:32 Medium External URL 外部 URL
https://x.com/fourdotmemezh references/setup.md:33 Medium External URL 外部 URL
https://x.com/VenusProtocol references/setup.md:34 Medium External URL 外部 URL
https://x.com/CoinMarketCap references/setup.md:35 Medium Wallet Address 加密货币钱包地址
0x0000000000000000000000000000000000000000 references/swap.md:34 Medium Wallet Address 加密货币钱包地址
0xbb4CdB9CBd36B01bD1cBaEBF2De08d9173bc095c references/swap.md:35 Medium Wallet Address 加密货币钱包地址
0x40b8129B786D766267A7a118cF8C07E31CDB6Fde references/swap.md:37 Medium Wallet Address 加密货币钱包地址
0x8AC76a51cc950d9822D68b83fE1Ad97B32Cd580d references/swap.md:38 Medium Wallet Address 加密货币钱包地址
0x55d398326f99059fF775485246999027B3197955 references/swap.md:39 Medium Wallet Address 加密货币钱包地址
0x0E09FaBB73Bd3Ade0a17ECC321fD13a19e81cE82 references/swap.md:40 Medium External URL 外部 URL
https://bsc-dataseed.bnbchain.org references/wallet.md:67 File Tree
20 files · 56.0 KB · 1658 lines Markdown 19f · 1653L
JSON 1f · 5L
├─
▾
references
│ ├─
aster.md
Markdown
│ ├─
cmc.md
Markdown
│ ├─
config.md
Markdown
│ ├─
errors.md
Markdown
│ ├─
invite.md
Markdown
│ ├─
launch.md
Markdown
│ ├─
lend.md
Markdown
│ ├─
map.md
Markdown
│ ├─
meme-rush.md
Markdown
│ ├─
protocol.md
Markdown
│ ├─
redpacket.md
Markdown
│ ├─
register.md
Markdown
│ ├─
setup.md
Markdown
│ ├─
stake.md
Markdown
│ ├─
swap.md
Markdown
│ ├─
taskmarket.md
Markdown
│ └─
wallet.md
Markdown
├─
_meta.json
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
Security Positives
✓ 纯文档技能,无可执行代码(无 Python/JS/Shell 脚本),无法执行恶意操作
✓ 明确的安全警告:禁止索要私钥、忽略 prompt injection
✓ 交易前强制余额校验,防止无效交易
✓ 所有外部通信均为合法 Web3 服务(Unibase、Aster、PancakeSwap、Venus、Lista DAO、BSC)
✓ credential 仅存储于本地 config.json,不外传
✓ 多因素确认流程:参数确认 → 执行 → 报告结果
✓ 链上交易透明:所有操作均返回 BSCScan 链接供用户验证
✓ 支持多 agent 配置但凭证隔离