中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 25/100
上次扫描:10 小时前 重新扫描
25 /100
ai-content-pipeline
AI内容管道:爬取文章→Gemini改写→DALL-E生成图片→Facebook自动发帖
功能正常的Facebook自动发帖工具,但.env文件包含真实凭证存在信息泄露风险。
技能名称ai-content-pipeline
分析耗时44.1s
引擎pi
可以安装
立即从代码库移除.env文件,确保其被.gitignore排除;添加凭证轮换机制。

安全发现 3 项

严重性 安全发现 位置
高危
.env文件包含真实凭证 凭证窃取
项目根目录的.env文件包含Facebook App Secret、Page Access Token、OpenAI API Key等敏感凭证。文件被提交到代码库后任何人都可访问这些凭证。
FB_APP_SECRET=b4eac757396f9845ba125441861b7f29
FB_PAGE_ACCESS_TOKEN=EAANKzZCeedAQBQxLjrW3TCBon8vAB42Xeth6DuZBnSgOGLUqUvMKZASZCM91UJNmLsIfCLZBSy4ZCfZBR03r9ZAVRgXmCaFCIGhpir75ZBLkFmSJR1TaVKZChZAYUVoV1BPvPaCfq23KmTQa9jNcKm1SNyXRKKltgSreLGFOwfsPYnX8ideU5xZBZA8OYB7G2Q9kuHAve75EYaTua9OBW9PmKQeZBScxwhM6LE4MMhlX5c2zllYu8ZD
→ 从代码库删除.env文件,在.gitignore中添加.env规则,使用环境变量或密钥管理服务存储凭证
 .env:1
中危
依赖包无版本锁定 供应链
requirements.txt中多个包使用>=版本约束而非固定版本,存在依赖供应链攻击风险。
openai>=1.30.0
google-genai>=1.0.0
openclaw>=2026.3.0
→ 使用固定版本或锁定文件(如pip-compile)确保依赖可复现性
 requirements.txt:1
低危
filesystem权限超出声明 文档欺骗
SKILL.md未声明filesystem:WRITE权限,但代码实际会写入output目录(图片和JSON结果)。
filepath.write_bytes(resp.content)
→ 更新SKILL.md声明filesystem:WRITE权限
 agents/image_agent.py:54
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 SKILL.md:env声明了APIFY_API_TOKEN等网络凭证
文件系统 READ WRITE ✗ 越权 agents/image_agent.py:54 将图片写入output/images/目录
环境变量 READ READ ✓ 一致 config.py通过dotenv读取环境变量
1 高危 12 项发现
📡
高危 IP 地址 硬编码 IP 地址
131.0.0.0
agents/crawler_agent.py:27
🔗
中危 外部 URL 外部 URL
https://dantri.com.vn/...
README.md:53
🔗
中危 外部 URL 外部 URL
https://www.facebook.com/...
README.md:56
🔗
中危 外部 URL 外部 URL
https://vnexpress.net/...
SKILL.md:54
🔗
中危 外部 URL 外部 URL
https://dantri.com.vn/suc-manh-so/cong-nghe-ai-tao-sinh-dang-thay-doi-nganh-truyen-thong-nhu-the-nao-20240101000000000.h...
agents/crawler_agent.py:204
🔗
中危 外部 URL 外部 URL
https://www.facebook.com/
agents/fb_publisher_agent.py:107
🔗
中危 外部 URL 外部 URL
https://developers.facebook.com/tools/explorer[/link
agents/fb_token_helper.py:81
🔗
中危 外部 URL 外部 URL
https://dantri.com.vn/example
agents/writer_agent.py:156
🔗
中危 外部 URL 外部 URL
https://graph.facebook.com/
config.py:33
🔗
中危 外部 URL 外部 URL
https://dantri.com.vn/some-article.htm
main.py:310
🔗
中危 外部 URL 外部 URL
https://graph.facebook.com
skills/facebook/references/graph-api-overview.md:4
🔗
中危 外部 URL 外部 URL
https://graph.facebook.com/vXX.X
skills/facebook/references/graph-api-overview.md:5

目录结构

24 文件 · 80.5 KB · 2010 行
Python 12f · 1522L Markdown 8f · 381L Text 2f · 68L Other 1f · 27L Ignore 1f · 12L
├─ 📁 agents
│ ├─ 🐍 __init__.py Python 1L · 25 B
│ ├─ 🐍 crawler_agent.py Python 206L · 8.4 KB
│ ├─ 🐍 fb_publisher_agent.py Python 180L · 8.3 KB
│ ├─ 🔑 fb_token_helper.py Python 150L · 5.1 KB
│ ├─ 🐍 image_agent.py Python 96L · 3.5 KB
│ └─ 🐍 writer_agent.py Python 169L · 7.1 KB
├─ 📁 skills
│ └─ 📁 facebook
│ └─ 📁 references
│ ├─ 📝 comments-moderation.md Markdown 24L · 648 B
│ ├─ 📝 graph-api-overview.md Markdown 26L · 836 B
│ ├─ 📝 http-request-templates.md Markdown 52L · 814 B
│ ├─ 📝 page-posting.md Markdown 37L · 955 B
│ ├─ 🔑 permissions-and-tokens.md Markdown 21L · 740 B
│ └─ 📝 webhooks.md Markdown 19L · 538 B
├─ 🔑 .env 27L · 1.1 KB
├─ 📄 .gitignore Ignore 12L · 95 B
├─ 🐍 config.py Python 74L · 3.1 KB
├─ 🐍 main.py Python 393L · 15.9 KB
├─ 🐍 models.py Python 62L · 2.1 KB
├─ 📄 output_log.txt Text 57L · 9.0 KB
├─ 📝 README.md Markdown 128L · 3.7 KB
├─ 📄 requirements.txt Text 11L · 200 B
├─ 🐍 sitecustomize.py Python 11L · 465 B
├─ 📝 SKILL.md Markdown 74L · 2.4 KB
├─ 🐍 test_fb_connection.py Python 100L · 3.3 KB
└─ 🐍 utils.py Python 80L · 2.2 KB

依赖分析 4 项

包名版本来源已知漏洞备注
requests >=2.31.0 pip 无版本锁定
google-genai >=1.0.0 pip 无版本锁定
openai >=1.30.0 pip 无版本锁定
openclaw >=2026.3.0 pip 第三方包,无版本锁定,存在供应链风险

安全亮点

✓ 代码结构清晰,模块化设计良好
✓ 文档与实际功能基本一致
✓ 未发现恶意代码、混淆或隐蔽的数据外泄行为
✓ 正确使用官方Facebook Graph API