Scan Report
5 /100
tga-analyze
登录 TGA (hortorgames),解析 panel URL 中的 projectId/dashboardId,通过 API 下载报表 zip 并解压分析 xlsx
TGA数据分析工具,代码功能与文档声明完全一致,仅操作指定域名的HTTPS API,无越权行为。
Safe to install
可安全使用。注意勿将 .env 提交至 git(已在文档中声明)。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md 声明读取 .env 和 .tga-token,写入 .tga-token 和 zip 文件;scripts/tga.js:41-68 读写 S… |
| Network | WRITE | WRITE | ✓ Aligned | SKILL.md 声明登录和下载 API;scripts/tga.js 始终连接 tga-web.hortorgames.com,无其他网络目标 |
1 High 3 findings
High IP Address 硬编码 IP 地址
145.0.0.0 scripts/tga.js:33 Medium External URL 外部 URL
https://tga-web.hortorgames.com/#/panel/panel/377_5851 SKILL.md:21 Medium External URL 外部 URL
https://tga-web.hortorgames.com scripts/tga.js:18 File Tree
2 files · 16.3 KB · 431 lines JavaScript 1f · 372L
Markdown 1f · 59L
├─
▾
scripts
│ └─
tga.js
JavaScript
└─
SKILL.md
Markdown
Security Positives
✓ SKILL.md 与代码实现完全对齐,无文档-行为差异
✓ 所有网络请求仅指向声明的目标域名 tga-web.hortorgames.com,无其他网络目标
✓ 使用 Node.js 原生模块(fs/path/https),无第三方依赖,无命令注入风险
✓ 凭证仅存储于本地 .env/.tga-token,不外传
✓ 下载数据写入用户指定输出目录,不存在隐蔽数据外泄
✓ SKILL.md 明确声明禁止提交 .env 到 git