中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 25/100
Last scan:9 hr ago Rescan
25 /100
ai-content-pipeline
AI内容管道:爬取文章→Gemini改写→DALL-E生成图片→Facebook自动发帖
功能正常的Facebook自动发帖工具,但.env文件包含真实凭证存在信息泄露风险。
Skill Nameai-content-pipeline
Duration44.1s
Enginepi
Safe to install
立即从代码库移除.env文件,确保其被.gitignore排除;添加凭证轮换机制。

Findings 3 items

Severity Finding Location
High
.env文件包含真实凭证 Credential Theft
项目根目录的.env文件包含Facebook App Secret、Page Access Token、OpenAI API Key等敏感凭证。文件被提交到代码库后任何人都可访问这些凭证。
FB_APP_SECRET=b4eac757396f9845ba125441861b7f29
FB_PAGE_ACCESS_TOKEN=EAANKzZCeedAQBQxLjrW3TCBon8vAB42Xeth6DuZBnSgOGLUqUvMKZASZCM91UJNmLsIfCLZBSy4ZCfZBR03r9ZAVRgXmCaFCIGhpir75ZBLkFmSJR1TaVKZChZAYUVoV1BPvPaCfq23KmTQa9jNcKm1SNyXRKKltgSreLGFOwfsPYnX8ideU5xZBZA8OYB7G2Q9kuHAve75EYaTua9OBW9PmKQeZBScxwhM6LE4MMhlX5c2zllYu8ZD
→ 从代码库删除.env文件,在.gitignore中添加.env规则,使用环境变量或密钥管理服务存储凭证
 .env:1
Medium
依赖包无版本锁定 Supply Chain
requirements.txt中多个包使用>=版本约束而非固定版本,存在依赖供应链攻击风险。
openai>=1.30.0
google-genai>=1.0.0
openclaw>=2026.3.0
→ 使用固定版本或锁定文件(如pip-compile)确保依赖可复现性
 requirements.txt:1
Low
filesystem权限超出声明 Doc Mismatch
SKILL.md未声明filesystem:WRITE权限,但代码实际会写入output目录(图片和JSON结果)。
filepath.write_bytes(resp.content)
→ 更新SKILL.md声明filesystem:WRITE权限
 agents/image_agent.py:54
ResourceDeclaredInferredStatusEvidence
Network READ READ ✓ Aligned SKILL.md:env声明了APIFY_API_TOKEN等网络凭证
Filesystem READ WRITE ✗ Violation agents/image_agent.py:54 将图片写入output/images/目录
Environment READ READ ✓ Aligned config.py通过dotenv读取环境变量
1 High 12 findings
📡
High IP Address 硬编码 IP 地址
131.0.0.0
agents/crawler_agent.py:27
🔗
Medium External URL 外部 URL
https://dantri.com.vn/...
README.md:53
🔗
Medium External URL 外部 URL
https://www.facebook.com/...
README.md:56
🔗
Medium External URL 外部 URL
https://vnexpress.net/...
SKILL.md:54
🔗
Medium External URL 外部 URL
https://dantri.com.vn/suc-manh-so/cong-nghe-ai-tao-sinh-dang-thay-doi-nganh-truyen-thong-nhu-the-nao-20240101000000000.h...
agents/crawler_agent.py:204
🔗
Medium External URL 外部 URL
https://www.facebook.com/
agents/fb_publisher_agent.py:107
🔗
Medium External URL 外部 URL
https://developers.facebook.com/tools/explorer[/link
agents/fb_token_helper.py:81
🔗
Medium External URL 外部 URL
https://dantri.com.vn/example
agents/writer_agent.py:156
🔗
Medium External URL 外部 URL
https://graph.facebook.com/
config.py:33
🔗
Medium External URL 外部 URL
https://dantri.com.vn/some-article.htm
main.py:310
🔗
Medium External URL 外部 URL
https://graph.facebook.com
skills/facebook/references/graph-api-overview.md:4
🔗
Medium External URL 外部 URL
https://graph.facebook.com/vXX.X
skills/facebook/references/graph-api-overview.md:5

File Tree

24 files · 80.5 KB · 2010 lines
Python 12f · 1522L Markdown 8f · 381L Text 2f · 68L Other 1f · 27L Ignore 1f · 12L
├─ 📁 agents
│ ├─ 🐍 __init__.py Python 1L · 25 B
│ ├─ 🐍 crawler_agent.py Python 206L · 8.4 KB
│ ├─ 🐍 fb_publisher_agent.py Python 180L · 8.3 KB
│ ├─ 🔑 fb_token_helper.py Python 150L · 5.1 KB
│ ├─ 🐍 image_agent.py Python 96L · 3.5 KB
│ └─ 🐍 writer_agent.py Python 169L · 7.1 KB
├─ 📁 skills
│ └─ 📁 facebook
│ └─ 📁 references
│ ├─ 📝 comments-moderation.md Markdown 24L · 648 B
│ ├─ 📝 graph-api-overview.md Markdown 26L · 836 B
│ ├─ 📝 http-request-templates.md Markdown 52L · 814 B
│ ├─ 📝 page-posting.md Markdown 37L · 955 B
│ ├─ 🔑 permissions-and-tokens.md Markdown 21L · 740 B
│ └─ 📝 webhooks.md Markdown 19L · 538 B
├─ 🔑 .env 27L · 1.1 KB
├─ 📄 .gitignore Ignore 12L · 95 B
├─ 🐍 config.py Python 74L · 3.1 KB
├─ 🐍 main.py Python 393L · 15.9 KB
├─ 🐍 models.py Python 62L · 2.1 KB
├─ 📄 output_log.txt Text 57L · 9.0 KB
├─ 📝 README.md Markdown 128L · 3.7 KB
├─ 📄 requirements.txt Text 11L · 200 B
├─ 🐍 sitecustomize.py Python 11L · 465 B
├─ 📝 SKILL.md Markdown 74L · 2.4 KB
├─ 🐍 test_fb_connection.py Python 100L · 3.3 KB
└─ 🐍 utils.py Python 80L · 2.2 KB

Dependencies 4 items

PackageVersionSourceKnown VulnsNotes
requests >=2.31.0 pip No 无版本锁定
google-genai >=1.0.0 pip No 无版本锁定
openai >=1.30.0 pip No 无版本锁定
openclaw >=2026.3.0 pip No 第三方包,无版本锁定,存在供应链风险

Security Positives

✓ 代码结构清晰,模块化设计良好
✓ 文档与实际功能基本一致
✓ 未发现恶意代码、混淆或隐蔽的数据外泄行为
✓ 正确使用官方Facebook Graph API