virse 安全扫描报告 — 低风险 | ClawSafe

18 /100

virse

Virse AI Design Platform - AI图像生成、画布布局、工作区管理和资产组织

Virse AI 设计平台技能，功能完整，代码质量良好，仅有轻微文档覆盖不足

技能名称virse

分析耗时41.9s

引擎pi

✓

可以安装

可以使用。建议完善 SKILL.md 中关于 git fetch 操作和外部网络请求的声明

安全发现 3 项

严重性	安全发现	位置
低危	shell 权限使用未完全声明文档欺骗 SKILL.md 声明 Bash 权限但未明确说明 check_update.py 使用 subprocess 调用 git fetch/pull 命令进行更新检查 `subprocess.run(["git", "-C", skill_dir, "fetch", "origin", GITHUB_BRANCH, "--quiet"])` → 在 SKILL.md 的 Update Check 部分添加说明：'Silent git fetch may be performed to check for updates'	`scripts/check_update.py:57`
低危	外部网络请求未声明文档欺骗 check_update.py 向 api.github.com 发送请求检查版本更新，SKILL.md 仅提及 'git pull origin main' 而未说明 GitHub API 回退机制 `https://api.github.com/repos/Atlas-Of-Imagination/virse-skill/commits/main` → 在文档中明确说明更新检查可能访问 GitHub API	`scripts/check_update.py:30`
提示	读取环境变量敏感访问 virse_call.py 读取 VIRSE_API_KEY 和 VIRSE_BASE_URL 环境变量用于 API 认证 `token = os.environ.get("VIRSE_API_KEY", "").strip()` → 这是正常的认证流程，无安全风险	`scripts/virse_call.py:16`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	所有脚本均不读写本地文件
网络访问	`READ`	`READ`	✓ 一致	仅向 dev.virse.ai 和 api.github.com 发送请求
命令执行	`WRITE`	`WRITE`	✓ 一致	check_update.py:57-70 调用 git fetch/pull
环境变量	`NONE`	`READ`	✓ 一致	virse_call.py 读取 VIRSE_API_KEY 和 VIRSE_BASE_URL

5 项发现

🔗

中危外部 URL 外部 URL

https://dev.virse.ai/device/code

auth-guide.md:42

🔗

中危外部 URL 外部 URL

https://dev.virse.ai/device

auth-guide.md:52

🔗

中危外部 URL 外部 URL

https://dev.virse.ai/device?user_code=ABCD-1234

auth-guide.md:53

🔗

中危外部 URL 外部 URL

https://dev.virse.ai/token

auth-guide.md:66

🔗

中危外部 URL 外部 URL

https://dev.virse.ai

auth-guide.md:93

目录结构

17 文件 · 78.2 KB · 2046 行

Markdown 14f · 1149L Python 3f · 897L

├─ ▾ 📁 examples

│ └─ 📝 product-listing-pipeline.md Markdown 110L · 6.0 KB

├─ ▾ 📁 playbooks

│ ├─ 📝 asset-curator.md Markdown 24L · 1.0 KB

│ ├─ 📝 batch-generate.md Markdown 35L · 1.5 KB

│ ├─ 📝 canvas-cleanup.md Markdown 25L · 1.0 KB

│ ├─ 📝 cross-workspace-collect.md Markdown 24L · 1.1 KB

│ ├─ 📝 graph-analysis.md Markdown 30L · 1.5 KB

│ ├─ 📝 prompt-refiner.md Markdown 32L · 1.6 KB

│ ├─ 📝 reference-board.md Markdown 27L · 1.3 KB

│ ├─ 📝 variation-explorer.md Markdown 31L · 1.7 KB

│ ├─ 📝 workflow-tracer.md Markdown 27L · 1.0 KB

│ └─ 📝 workspace-summary.md Markdown 22L · 717 B

├─ ▾ 📁 scripts

│ ├─ 🐍 check_update.py Python 169L · 5.3 KB

│ ├─ 🐍 graph_analysis.py Python 339L · 10.6 KB

│ └─ 🐍 virse_call.py Python 389L · 12.5 KB

├─ 📝 auth-guide.md Markdown 110L · 3.1 KB

├─ 📝 SKILL.md Markdown 229L · 11.9 KB

└─ 📝 tools-reference.md Markdown 423L · 16.3 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`urllib`	`stdlib`	Python 标准库	否	零外部依赖
`subprocess`	`stdlib`	Python 标准库	否	仅用于 git fetch/pull

安全亮点

✓ 零外部依赖（除标准库），降低供应链风险

✓ 凭证存储使用 0o600 权限，符合安全最佳实践

✓ 网络请求仅指向官方 virse.ai 域名和 GitHub（更新检查）

✓ subprocess 调用仅用于 git 操作，有明确的超时控制

✓ 所有代码功能均有合理的业务解释

✓ 纯 Python 实现，无复杂混淆或隐藏行为

✓ MCP 协议实现规范，错误处理完整