中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
tracebit-canaries
部署 Tracebit 安全 canary(蜜Token/诱饵凭证)以检测凭证窃取、提示注入和数据外泄;支持从注册到人工监督事件响应的全流程
Tracebit Canary 安全技能,文档详尽、权限声明清晰、所有 shell 操作均在声明范围内,无阴影功能,无恶意行为。
Skill Nametracebit-canaries
Duration49.8s
Enginepi
Safe to install
可直接使用。注意:CLI 从 GitHub 下载时依赖 SHA256 验证,需确保 shasum/sha256sum 工具可用。

Findings 3 items

Severity Finding Location
Low
硬编码示例 IP 地址
references/api-reference.md:108 包含硬编码 IP 1.2.3.4,这是 API 响应中 sshIp 字段的示例/占位值(Tracebit 提供的 SSH canary 服务器地址),非攻击者控制的 C2 地址。
"sshIp": "1.2.3.4"
→ 可忽略。如需改进,可用占位符如 <SSH_CANARY_IP> 替代。
 references/api-reference.md:108
Info
外部依赖工具无版本锁定
install-tracebit.sh 使用 curl 或 wget 下载 GitHub 发布包,未声明依赖版本范围。这是安装脚本的常见模式。
command -v curl >/dev/null 2>&1 || command -v wget >/dev/null 2>&1
→ 不影响安全——脚本已强制执行 SHA256 校验,可检测篡改。
 scripts/install-tracebit.sh:85
Info
脚本使用 bash set -euo pipefail
所有 shell 脚本均使用严格模式运行,错误自动退出,降低了误操作风险。
set -euo pipefail
→ 良好实践,保持。
 scripts/check-canaries.sh:11
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned SKILL.md metadata permissions + security-compliance.md 表声明 /tmp/tracebit-setup-c…
Network READ READ ✓ Aligned security-compliance.md 网络行为表:仅 community.tracebit.com 和 github.com,无 C2/外泄
Shell WRITE WRITE ✓ Aligned SKILL.md Step 2 调用 bash scripts/install-tracebit.sh;check-canaries.sh 读取本地 JSON;…
Environment NONE NONE security-compliance.md 明确声明不读取真实凭证
Clipboard NONE NONE 无剪贴板访问
Browser WRITE WRITE ✓ Aligned SKILL.md Step 1/3 明确使用 openclaw browser 工具进行账户创建和 OAuth
Database NONE NONE 无数据库操作
1 High 7 findings
📡
High IP Address 硬编码 IP 地址
1.2.3.4
references/api-reference.md:108
🔗
Medium External URL 外部 URL
https://community.tracebit.com
SKILL.md:5
🔗
Medium External URL 外部 URL
https://community.tracebit.com/cli-login
SKILL.md:123
🔗
Medium External URL 外部 URL
https://community.tracebit.com/api/v1/credentials/issue-credentials
references/api-reference.md:94
🔗
Medium External URL 外部 URL
https://community.tracebit.com/api/v1/credentials/confirm-credentials
references/api-reference.md:138
🔗
Medium External URL 外部 URL
https://attacker.com/payload
references/attack-patterns.md:17
📧
Info Email 邮箱地址
[email protected]
SKILL.md:162

File Tree

12 files · 94.4 KB · 2279 lines
Markdown 7f · 1591L Shell 4f · 651L JSON 1f · 37L
├─ 📁 assets
│ └─ 📋 canary-config.json JSON 37L · 1.3 KB
├─ 📁 references
│ ├─ 📝 api-reference.md Markdown 301L · 9.7 KB
│ ├─ 📝 attack-patterns.md Markdown 137L · 8.6 KB
│ ├─ 📝 canary-types.md Markdown 162L · 6.2 KB
│ ├─ 📝 incident-response-playbook.md Markdown 215L · 9.2 KB
│ ├─ 📝 security-compliance.md Markdown 258L · 13.9 KB
│ └─ 📝 troubleshooting.md Markdown 271L · 5.9 KB
├─ 📁 scripts
│ ├─ 🔧 check-canaries.sh Shell 168L · 5.6 KB
│ ├─ 🔧 install-tracebit.sh Shell 263L · 11.3 KB
│ ├─ 🔧 parse-tracebit-alert.sh Shell 117L · 5.5 KB
│ └─ 🔧 test-canary.sh Shell 103L · 4.5 KB
└─ 📝 SKILL.md Markdown 247L · 12.6 KB

Dependencies 3 items

PackageVersionSourceKnown VulnsNotes
curl system-default system No install-tracebit.sh 使用 curl 下载 GitHub 发布包(fallback: wget),已做 SHA256 校验
python3 system-default system No check-canaries.sh 和 parse-tracebit-alert.sh 使用 python3 解析 JSON
jq system-default system No parse-tracebit-alert.sh 需要 jq,缺失时报错退出

Security Positives

✓ SHA256 强制校验:install-tracebit.sh 下载任何文件前必须验证 SHA256,校验失败则中止,不提供绕过
✓ 人类门控(human-gated-deployment):每个敏感操作(部署、修复、内存读取)均有显式的人类确认步骤,SKILL.md 中有硬性阻断指令
✓ 文档极度详尽:安全合规、权限映射、网络行为、文件操作清单、完整移除脚本均有文档
✓ 影子功能零发现:所有 shell 脚本功能(CLI 安装、状态检查、告警解析、canary 触发)均在 SKILL.md 中声明
✓ 写入操作限域:仅写入 /tmp/tracebit-setup-creds(chmod 600)、HEARTBEAT.md(追加)、memory/security-incidents.md(追加),均由 SKILL.md 声明
✓ 外部网络仅限两个域名:community.tracebit.com 和 github.com,无 C2、beaconing 或数据外泄
✓ 背景服务透明:security-compliance.md 明确说明后台守护进程仅刷新 canary 令牌有效期,不读写用户数据
✓ 开源可审计:Tracebit CLI 源码公开在 GitHub,skill 无隐藏二进制
✓ 完整移除脚本:security-compliance.md 提供从系统彻底清除所有组件的 bash 脚本