中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
jiuma
免费的AI视频生成创作平台,支持生成视频、图片、声音、视频动作模仿、视频人物替换等
九马AI视频生成技能功能清晰、代码可审计,凭证使用keyring安全存储,未发现恶意行为或阴影功能,仅存在文档层面的轻微瑕疵。
技能名称jiuma
分析耗时39.1s
引擎pi
可以安装
可安全使用。建议在SKILL.md中补充allowed-tools声明,并将pip依赖改为版本锁定。

安全发现 2 项

严重性 安全发现 位置
低危
allowed-tools声明缺失
SKILL.md未声明任何allowed-tools,但代码实际使用了filesystem:READ、network:WRITE等能力
文档无 allowed-tools 字段
→ 在SKILL.md元数据中添加 allowed-tools 声明
 SKILL.md:1
低危
第三方依赖无版本锁定
keyring和keyrings.alt安装命令未指定版本范围
pip install keyring\npip install keyrings.alt
→ 使用 pip install keyring>=5.0 keyrings.alt>=4.0 锁定最低版本
 SKILL.md:117
资源类型声明权限推断权限状态证据
文件系统 NONE READ ✓ 一致 upload_file.py:31 os.path.expanduser(file_path) + open()
网络访问 NONE WRITE ✓ 一致 所有脚本通过requests库调用api.jiuma.com API
环境变量 NONE READ ✓ 一致 脚本通过keyring访问系统密钥库存储凭证
3 项发现
🔗
中危 外部 URL 外部 URL
https://www.jiuma.com
SKILL.md:3
🔗
中危 外部 URL 外部 URL
https://picsum.photos/800/450
SKILL.md:37
🔗
中危 外部 URL 外部 URL
https://api.jiuma.com/
scripts/auth.py:11

目录结构

6 文件 · 20.4 KB · 543 行
Python 5f · 420L Markdown 1f · 123L
├─ 📁 scripts
│ ├─ 🐍 auth.py Python 126L · 4.8 KB
│ ├─ 🐍 check_auth_status.py Python 42L · 1.1 KB
│ ├─ 🐍 submit_generation_task.py Python 90L · 3.0 KB
│ ├─ 🐍 task_result.py Python 93L · 2.8 KB
│ └─ 🐍 upload_file.py Python 69L · 1.9 KB
└─ 📝 SKILL.md Markdown 123L · 6.8 KB

依赖分析 3 项

包名版本来源已知漏洞备注
keyring * pip 无版本锁定
keyrings.alt * pip 无版本锁定
requests * pip (隐式) 代码中使用但SKILL.md未声明,无版本锁定

安全亮点

✓ 凭证使用keyring系统密钥库存储,非明文文件,符合安全实践
✓ 所有脚本功能与文档描述一致,未发现阴影功能
✓ API调用使用Bearer Token认证,凭证不硬编码
✓ 代码结构清晰,错误处理完善
✓ 无base64解码、远程脚本执行、eval等高危操作
✓ 无凭证收割、环境变量遍历等恶意模式