中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
jiuma
免费的AI视频生成创作平台,支持生成视频、图片、声音、视频动作模仿、视频人物替换等
九马AI视频生成技能功能清晰、代码可审计,凭证使用keyring安全存储,未发现恶意行为或阴影功能,仅存在文档层面的轻微瑕疵。
Skill Namejiuma
Duration39.1s
Enginepi
Safe to install
可安全使用。建议在SKILL.md中补充allowed-tools声明,并将pip依赖改为版本锁定。

Findings 2 items

Severity Finding Location
Low
allowed-tools声明缺失
SKILL.md未声明任何allowed-tools,但代码实际使用了filesystem:READ、network:WRITE等能力
文档无 allowed-tools 字段
→ 在SKILL.md元数据中添加 allowed-tools 声明
 SKILL.md:1
Low
第三方依赖无版本锁定
keyring和keyrings.alt安装命令未指定版本范围
pip install keyring\npip install keyrings.alt
→ 使用 pip install keyring>=5.0 keyrings.alt>=4.0 锁定最低版本
 SKILL.md:117
ResourceDeclaredInferredStatusEvidence
Filesystem NONE READ ✓ Aligned upload_file.py:31 os.path.expanduser(file_path) + open()
Network NONE WRITE ✓ Aligned 所有脚本通过requests库调用api.jiuma.com API
Environment NONE READ ✓ Aligned 脚本通过keyring访问系统密钥库存储凭证
3 findings
🔗
Medium External URL 外部 URL
https://www.jiuma.com
SKILL.md:3
🔗
Medium External URL 外部 URL
https://picsum.photos/800/450
SKILL.md:37
🔗
Medium External URL 外部 URL
https://api.jiuma.com/
scripts/auth.py:11

File Tree

6 files · 20.4 KB · 543 lines
Python 5f · 420L Markdown 1f · 123L
├─ 📁 scripts
│ ├─ 🐍 auth.py Python 126L · 4.8 KB
│ ├─ 🐍 check_auth_status.py Python 42L · 1.1 KB
│ ├─ 🐍 submit_generation_task.py Python 90L · 3.0 KB
│ ├─ 🐍 task_result.py Python 93L · 2.8 KB
│ └─ 🐍 upload_file.py Python 69L · 1.9 KB
└─ 📝 SKILL.md Markdown 123L · 6.8 KB

Dependencies 3 items

PackageVersionSourceKnown VulnsNotes
keyring * pip No 无版本锁定
keyrings.alt * pip No 无版本锁定
requests * pip (隐式) No 代码中使用但SKILL.md未声明,无版本锁定

Security Positives

✓ 凭证使用keyring系统密钥库存储,非明文文件,符合安全实践
✓ 所有脚本功能与文档描述一致,未发现阴影功能
✓ API调用使用Bearer Token认证,凭证不硬编码
✓ 代码结构清晰,错误处理完善
✓ 无base64解码、远程脚本执行、eval等高危操作
✓ 无凭证收割、环境变量遍历等恶意模式