Scan Report
15 /100
xiaosanwan-skill-validator
小三万技能验证工具,自动测试新安装 Skill 的功能完整性、边界情况、潜在问题,并提供完善建议
Skill 验证工具,功能正常。SECURITY.md 中的危险命令仅为文档示例,非实际执行代码。存在缺少沙箱隔离等安全最佳实践缺陷,但无恶意行为证据。
Safe to install
建议在生产环境使用前添加沙箱隔离(firejail/docker)和超时限制。SKILL.md 应补充 allowed-tools 声明。
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Low | 执行被测脚本无沙箱隔离 Priv Escalation | scripts/validate.sh:195 |
| Info | IOC 为文档示例,非实际危险 Doc Mismatch | SECURITY.md:96 |
| Low | 无超时和资源限制 Supply Chain | scripts/validate.sh:195 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Shell | NONE | WRITE | ✓ Aligned | validate.sh:195 - bash $SKILL_PATH/scripts/diagnose.sh |
| Filesystem | NONE | READ | ✓ Aligned | validate.sh:59 - ls $SKILL_DIR |
2 Critical 1 High 4 findings
Critical Dangerous Command 危险 Shell 命令
rm -rf / SECURITY.md:96 Critical Encoded Execution Base64 编码执行(代码混淆)
base64 -d SECURITY.md:102 High API Key 疑似硬编码凭证
PASSWORD="your_app_password" SKILL.md:169 Info Email 邮箱地址
[email protected] SKILL.md:131 File Tree
6 files · 36.9 KB · 1373 lines Markdown 3f · 721L
Shell 3f · 652L
├─
▾
scripts
│ ├─
validate-recent.sh
Shell
│ ├─
validate-ux.sh
Shell
│ └─
validate.sh
Shell
├─
▾
templates
│ └─
report.md
Markdown
├─
SECURITY.md
Markdown
└─
SKILL.md
Markdown
Security Positives
✓ 无凭证收割或环境变量遍历行为
✓ 无网络外传请求
✓ 无 base64 编码执行(IOC 均为文档示例)
✓ 无敏感文件访问(~/.ssh, ~/.aws 等)
✓ 代码逻辑清晰,为合法的 Skill 验证工具