扫描报告
5 /100
tga-analyze
登录 TGA (hortorgames),解析 panel URL 中的 projectId/dashboardId,通过 API 下载报表 zip 并解压分析 xlsx
TGA数据分析工具,代码功能与文档声明完全一致,仅操作指定域名的HTTPS API,无越权行为。
可以安装
可安全使用。注意勿将 .env 提交至 git(已在文档中声明)。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md 声明读取 .env 和 .tga-token,写入 .tga-token 和 zip 文件;scripts/tga.js:41-68 读写 S… |
| 网络访问 | WRITE | WRITE | ✓ 一致 | SKILL.md 声明登录和下载 API;scripts/tga.js 始终连接 tga-web.hortorgames.com,无其他网络目标 |
1 高危 3 项发现
高危 IP 地址 硬编码 IP 地址
145.0.0.0 scripts/tga.js:33 中危 外部 URL 外部 URL
https://tga-web.hortorgames.com/#/panel/panel/377_5851 SKILL.md:21 中危 外部 URL 外部 URL
https://tga-web.hortorgames.com scripts/tga.js:18 目录结构
2 文件 · 16.3 KB · 431 行 JavaScript 1f · 372L
Markdown 1f · 59L
├─
▾
scripts
│ └─
tga.js
JavaScript
└─
SKILL.md
Markdown
安全亮点
✓ SKILL.md 与代码实现完全对齐,无文档-行为差异
✓ 所有网络请求仅指向声明的目标域名 tga-web.hortorgames.com,无其他网络目标
✓ 使用 Node.js 原生模块(fs/path/https),无第三方依赖,无命令注入风险
✓ 凭证仅存储于本地 .env/.tga-token,不外传
✓ 下载数据写入用户指定输出目录,不存在隐蔽数据外泄
✓ SKILL.md 明确声明禁止提交 .env 到 git