安全决策报告

Awesome Pentest

Name: Awesome Pentest 可信度判断报告
Item: Awesome Pentest
Rating: 55
Author: ClawSafe

SKILL.md仅声明4个基础命令，但script.sh实际包含20+个未文档化的命令，包括凭证存储/检索/轮换等敏感操作，构成明显的文档-行为差异（shadow functionality）

安装决策优先来源: 手动上传扫描时间: 2026/4/5

文件 4

IOC 2

越权项 1

发现 4

最直接的威胁证据

用户通过SKILL.md了解该技能，仅看到4个基础命令 初始入口 · SKILL.md

实际脚本包含20+个未文档化命令，包括凭证管理功能 权限提升 · scripts/script.sh

用户可能在不知情情况下通过store/revoke等命令提交敏感凭证 最终危害 · scripts/script.sh

为什么得出这个结论

2/4 个维度触发

阻止

声明与实际能力

发现 1 项声明之外的能力或越权行为。

复核

隐藏执行与外联

提取到 2 个一般风险产物，需要结合上下文判断。

阻止

攻击链与高危发现

报告包含 3 步攻击链，另有 2 项高危或严重发现。

复核

依赖与供应链卫生

没有完整依赖信息，供应链判断需要保留弹性。

攻击链

用户通过SKILL.md了解该技能，仅看到4个基础命令

初始入口 · SKILL.md:1

实际脚本包含20+个未文档化命令，包括凭证管理功能

权限提升 · scripts/script.sh:74

用户可能在不知情情况下通过store/revoke等命令提交敏感凭证

最终危害 · scripts/script.sh:74

风险分是怎么被拉高的

文档-行为差异（阴影功能） +25

SKILL.md仅声明help/run/info/status四个命令，script.sh却有20+个未文档化命令

凭证操作命令缺失文档 +15

store/retrieve/rotate/check-strength/audit/revoke等凭证相关命令完全未声明

敏感目录写入 +5

在~/.local/share/下创建数据目录并存储日志

最关键的证据

高危文档欺骗

文档声明与实际代码严重不符

SKILL.md声明4个命令（help/run/info/status），但script.sh实际包含20+个命令，包括generate/check-strength/rotate/audit/store/retrieve/expire/policy/report/hash/verify/revoke/stats/export/search/recent等，且部分命令涉及凭证存储和管理功能

scripts/script.sh:74

补充完整SKILL.md文档，声明所有20+个命令的功能、输入参数和数据处理方式

高危文档欺骗

凭证相关操作完全未声明

store/retrieve/rotate/check-strength/audit/revoke等命令直接处理用户输入的敏感数据（密码、密钥等），被写入~/.local/share/awesome-pentest/*.log，但SKILL.md对此只字未提

scripts/script.sh:74

明确声明凭证管理功能的使用场景和数据安全措施

中危权限提升

未声明的文件系统写入操作

代码在~/.local/share/awesome-pentest/下创建多个日志文件(history.log/generate.log/store.log等)，但SKILL.md未声明任何文件系统写入能力

scripts/script.sh:7

在SKILL.md中声明filesystem:WRITE权限及数据存储位置

低危供应链

无依赖管理文件

未发现requirements.txt、package.json或Cargo.toml，依赖管理不可追溯

SKILL.md:1

添加requirements.txt明确Python依赖版本

声明能力 vs 实际能力

文件系统 阻止

声明 NONE

→

推断 WRITE

scripts/script.sh:7 mkdir -p $HOME/.local/share/awesome-pentest

命令执行 通过

声明 NONE

→

推断 NONE

无subprocess调用

网络访问 通过

声明 NONE

→

推断 NONE

未发现curl/wget/POST请求

可疑产物与外联

中危外部 URL

https://bytesagain.com/feedback*

SKILL.md:52

提示邮箱

[email protected]

SKILL.md:31

依赖与供应链

没有结构化依赖告警。

文件构成

4 个文件 · 409 行

Shell 2 个文件 · 348 行Markdown 2 个文件 · 61 行

需关注文件 · 2

scripts/script.sh Shell · 313 行

文档声明与实际代码严重不符 · 凭证相关操作完全未声明 · 未声明的文件系统写入操作

SKILL.md Markdown · 52 行

无依赖管理文件 · https://bytesagain.com/feedback* · [email protected]

其他文件 · awesome_pentest.sh · tips.md

安全亮点

代码未发现base64编码或eval执行等混淆行为

未发现curl/wget等外部网络请求

未发现对~/.ssh、~/.aws、.env等敏感路径的访问

未发现反向shell或C2通信代码

凭证数据仅存储在本地，未发现外传机制

代码结构清晰，命令逻辑简单可读