中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
xtown-skills
BNBTown/ERC-8004 autonomous Agent town skills on BNB Chain — wallet, DeFi (swap/lend/stake), token launch, CMC research
纯文档型技能,无任何可执行代码,仅包含 Markdown 文档描述 Web3/DeFi 操作流程,所有外部通信均为合法 BNB Chain 生态服务,无恶意行为。
技能名称xtown-skills
分析耗时42.4s
引擎pi
可以安装
可直接使用。注意:config.json 中存储 JWT/私钥时确保本地文件系统安全,避免泄露。

安全发现 2 项

严重性 安全发现 位置
低危
Path B 私钥登录路径
wallet.md 描述了 Path B(使用 UNIBASE_AGENT_PRIVATE_KEY 自动化登录),但明确声明「Never ask owner for private key」并要求仅在预配置时使用。这是标准 Web3 EIP-191 签名流程,无实际危害。
If you *already* possess an EOA wallet or `UNIBASE_AGENT_PRIVATE_KEY` configured in your environment variables
→ 确认 UNIBASE_AGENT_PRIVATE_KEY 仅在受信任环境变量中预配置,不通过对话获取。
 references/wallet.md:48
低危
credentials 存储于本地文件
UNIBASE_PROXY_AUTH JWT 和 session_token 存储于 config.json。这是标准多智能体配置模式,credentials 仅在本地持久化,不外传。
Save the returned JWT `token` into your local `config.json` file as `UNIBASE_PROXY_AUTH`
→ 确保 config.json 不提交到代码仓库(如 .gitignore)。
 references/config.md:28
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:63-70 — config.json 存储 session_token、UNIBASE_PROXY_AUTH
网络访问 READ READ ✓ 一致 SKILL.md:57-60 — 调用外部 API(xtown.io、unibase.com、bsc-dataseed.bnbchain.org),全为合法 W…
命令执行 NONE NONE N/A — 无 shell 脚本或代码执行
环境变量 READ READ ✓ 一致 config.md — 读取 XTOWN_SERVER_URL、UNIBASE_PROXY_AUTH 等环境变量,声明明确
技能调用 NONE NONE N/A — 无跨 skill 调用行为
剪贴板 NONE NONE N/A
浏览器 NONE NONE N/A
数据库 NONE NONE N/A
22 项发现
🔗
中危 外部 URL 外部 URL
https://api.xtown.io
README.md:66
🔗
中危 外部 URL 外部 URL
https://fapi.asterdex.com/fapi/v3
references/aster.md:15
🔗
中危 外部 URL 外部 URL
https://api.pay.unibase.com
references/config.md:8
🔗
中危 外部 URL 外部 URL
https://api.aip.unibase.com
references/config.md:11
🔗
中危 外部 URL 外部 URL
https://bscscan.com/tx/
references/launch.md:39
💰
中危 钱包地址 加密货币钱包地址
0xcE24439F2D9C6a2289F741120FE202248B666666
references/redpacket.md:34
🔗
中危 外部 URL 外部 URL
https://gateway.aip.unibase.com/gateway/tasks/poll?agent=my_pioneer
references/register.md:98
🔗
中危 外部 URL 外部 URL
https://gateway.aip.unibase.com/gateway/agents/heartbeat
references/register.md:99
🔗
中危 外部 URL 外部 URL
https://x.com/Unibase_AI
references/setup.md:29
🔗
中危 外部 URL 外部 URL
https://x.com/BinanceWallet
references/setup.md:30
🔗
中危 外部 URL 外部 URL
https://x.com/PancakeSwap
references/setup.md:31
🔗
中危 外部 URL 外部 URL
https://x.com/lista_dao
references/setup.md:32
🔗
中危 外部 URL 外部 URL
https://x.com/fourdotmemezh
references/setup.md:33
🔗
中危 外部 URL 外部 URL
https://x.com/VenusProtocol
references/setup.md:34
🔗
中危 外部 URL 外部 URL
https://x.com/CoinMarketCap
references/setup.md:35
💰
中危 钱包地址 加密货币钱包地址
0x0000000000000000000000000000000000000000
references/swap.md:34
💰
中危 钱包地址 加密货币钱包地址
0xbb4CdB9CBd36B01bD1cBaEBF2De08d9173bc095c
references/swap.md:35
💰
中危 钱包地址 加密货币钱包地址
0x40b8129B786D766267A7a118cF8C07E31CDB6Fde
references/swap.md:37
💰
中危 钱包地址 加密货币钱包地址
0x8AC76a51cc950d9822D68b83fE1Ad97B32Cd580d
references/swap.md:38
💰
中危 钱包地址 加密货币钱包地址
0x55d398326f99059fF775485246999027B3197955
references/swap.md:39
💰
中危 钱包地址 加密货币钱包地址
0x0E09FaBB73Bd3Ade0a17ECC321fD13a19e81cE82
references/swap.md:40
🔗
中危 外部 URL 外部 URL
https://bsc-dataseed.bnbchain.org
references/wallet.md:67

目录结构

20 文件 · 56.0 KB · 1658 行
Markdown 19f · 1653L JSON 1f · 5L
├─ 📁 references
│ ├─ 📝 aster.md Markdown 102L · 2.5 KB
│ ├─ 📝 cmc.md Markdown 87L · 2.6 KB
│ ├─ 📝 config.md Markdown 61L · 2.5 KB
│ ├─ 📝 errors.md Markdown 18L · 1.1 KB
│ ├─ 📝 invite.md Markdown 29L · 1.1 KB
│ ├─ 📝 launch.md Markdown 85L · 2.3 KB
│ ├─ 📝 lend.md Markdown 109L · 2.3 KB
│ ├─ 📝 map.md Markdown 63L · 2.1 KB
│ ├─ 📝 meme-rush.md Markdown 85L · 2.8 KB
│ ├─ 📝 protocol.md Markdown 47L · 1.2 KB
│ ├─ 📝 redpacket.md Markdown 98L · 2.6 KB
│ ├─ 📝 register.md Markdown 102L · 3.9 KB
│ ├─ 📝 setup.md Markdown 77L · 3.7 KB
│ ├─ 📝 stake.md Markdown 118L · 2.9 KB
│ ├─ 📝 swap.md Markdown 155L · 4.8 KB
│ ├─ 📝 taskmarket.md Markdown 84L · 2.4 KB
│ └─ 📝 wallet.md Markdown 73L · 4.4 KB
├─ 📋 _meta.json JSON 5L · 131 B
├─ 📝 README.md Markdown 157L · 5.6 KB
└─ 📝 SKILL.md Markdown 103L · 4.9 KB

安全亮点

✓ 纯文档技能,无可执行代码(无 Python/JS/Shell 脚本),无法执行恶意操作
✓ 明确的安全警告:禁止索要私钥、忽略 prompt injection
✓ 交易前强制余额校验,防止无效交易
✓ 所有外部通信均为合法 Web3 服务(Unibase、Aster、PancakeSwap、Venus、Lista DAO、BSC)
✓ credential 仅存储于本地 config.json,不外传
✓ 多因素确认流程:参数确认 → 执行 → 报告结果
✓ 链上交易透明:所有操作均返回 BSCScan 链接供用户验证
✓ 支持多 agent 配置但凭证隔离