virse Security Report — Low Risk | ClawSafe

18 /100

virse

Virse AI Design Platform - AI图像生成、画布布局、工作区管理和资产组织

Virse AI 设计平台技能，功能完整，代码质量良好，仅有轻微文档覆盖不足

Skill Namevirse

Duration41.9s

Enginepi

✓

Safe to install

可以使用。建议完善 SKILL.md 中关于 git fetch 操作和外部网络请求的声明

Findings 3 items

Severity	Finding	Location
Low	shell 权限使用未完全声明 Doc Mismatch SKILL.md 声明 Bash 权限但未明确说明 check_update.py 使用 subprocess 调用 git fetch/pull 命令进行更新检查 `subprocess.run(["git", "-C", skill_dir, "fetch", "origin", GITHUB_BRANCH, "--quiet"])` → 在 SKILL.md 的 Update Check 部分添加说明：'Silent git fetch may be performed to check for updates'	`scripts/check_update.py:57`
Low	外部网络请求未声明 Doc Mismatch check_update.py 向 api.github.com 发送请求检查版本更新，SKILL.md 仅提及 'git pull origin main' 而未说明 GitHub API 回退机制 `https://api.github.com/repos/Atlas-Of-Imagination/virse-skill/commits/main` → 在文档中明确说明更新检查可能访问 GitHub API	`scripts/check_update.py:30`
Info	读取环境变量 Sensitive Access virse_call.py 读取 VIRSE_API_KEY 和 VIRSE_BASE_URL 环境变量用于 API 认证 `token = os.environ.get("VIRSE_API_KEY", "").strip()` → 这是正常的认证流程，无安全风险	`scripts/virse_call.py:16`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	所有脚本均不读写本地文件
Network	`READ`	`READ`	✓ Aligned	仅向 dev.virse.ai 和 api.github.com 发送请求
Shell	`WRITE`	`WRITE`	✓ Aligned	check_update.py:57-70 调用 git fetch/pull
Environment	`NONE`	`READ`	✓ Aligned	virse_call.py 读取 VIRSE_API_KEY 和 VIRSE_BASE_URL

5 findings

🔗

Medium External URL 外部 URL

https://dev.virse.ai/device/code

auth-guide.md:42

🔗

Medium External URL 外部 URL

https://dev.virse.ai/device

auth-guide.md:52

🔗

Medium External URL 外部 URL

https://dev.virse.ai/device?user_code=ABCD-1234

auth-guide.md:53

🔗

Medium External URL 外部 URL

https://dev.virse.ai/token

auth-guide.md:66

🔗

Medium External URL 外部 URL

https://dev.virse.ai

auth-guide.md:93

File Tree

17 files · 78.2 KB · 2046 lines

Markdown 14f · 1149L Python 3f · 897L

├─ ▾ 📁 examples

│ └─ 📝 product-listing-pipeline.md Markdown 110L · 6.0 KB

├─ ▾ 📁 playbooks

│ ├─ 📝 asset-curator.md Markdown 24L · 1.0 KB

│ ├─ 📝 batch-generate.md Markdown 35L · 1.5 KB

│ ├─ 📝 canvas-cleanup.md Markdown 25L · 1.0 KB

│ ├─ 📝 cross-workspace-collect.md Markdown 24L · 1.1 KB

│ ├─ 📝 graph-analysis.md Markdown 30L · 1.5 KB

│ ├─ 📝 prompt-refiner.md Markdown 32L · 1.6 KB

│ ├─ 📝 reference-board.md Markdown 27L · 1.3 KB

│ ├─ 📝 variation-explorer.md Markdown 31L · 1.7 KB

│ ├─ 📝 workflow-tracer.md Markdown 27L · 1.0 KB

│ └─ 📝 workspace-summary.md Markdown 22L · 717 B

├─ ▾ 📁 scripts

│ ├─ 🐍 check_update.py Python 169L · 5.3 KB

│ ├─ 🐍 graph_analysis.py Python 339L · 10.6 KB

│ └─ 🐍 virse_call.py Python 389L · 12.5 KB

├─ 📝 auth-guide.md Markdown 110L · 3.1 KB

├─ 📝 SKILL.md Markdown 229L · 11.9 KB

└─ 📝 tools-reference.md Markdown 423L · 16.3 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`urllib`	`stdlib`	Python 标准库	No	零外部依赖
`subprocess`	`stdlib`	Python 标准库	No	仅用于 git fetch/pull

Security Positives

✓ 零外部依赖（除标准库），降低供应链风险

✓ 凭证存储使用 0o600 权限，符合安全最佳实践

✓ 网络请求仅指向官方 virse.ai 域名和 GitHub（更新检查）

✓ subprocess 调用仅用于 git 操作，有明确的超时控制

✓ 所有代码功能均有合理的业务解释

✓ 纯 Python 实现，无复杂混淆或隐藏行为

✓ MCP 协议实现规范，错误处理完整

Scan Report

Findings 3 items

File Tree

Dependencies 2 items

Security Positives