Scan Report
5 /100
ssh-handoff
Create and reuse a secure shared terminal handoff when a human must authenticate first and the agent must resume work in the same shell session afterward
ssh-handoff 是一个合法的 tmux 会话共享和浏览器终端工具,代码质量高,包含完善的安全控制(token验证、IP过滤、TTL自动清理),无恶意行为
Safe to install
可直接使用。注意在外部通信渠道(如Telegram/Discord)上不要随意启动浏览器终端模式
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Info | 文档使用示例IP地址 | SKILL.md:122 |
| Info | 安全控制完善 | scripts/url-token-proxy.js:1 |
| Info | Guardrails文档完善 | SKILL.md:105 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Shell | NONE | WRITE | ✓ Aligned | scripts/start-url-token-web-terminal.sh:137-145 调用tmux/ttyd/node命令 |
| Filesystem | NONE | WRITE | ✓ Aligned | scripts/start-url-token-web-terminal.sh:99 写入/tmp状态文件 |
| Network | NONE | WRITE | ✓ Aligned | scripts/start-url-token-web-terminal.sh:137 启动ttyd/tcp服务 |
2 High 4 findings
High IP Address 硬编码 IP 地址
192.0.2.10 SKILL.md:122 High IP Address 硬编码 IP 地址
192.0.2.20 SKILL.md:122 Medium External URL 外部 URL
https://$EXPECTED_HOST scripts/start-url-token-web-terminal.sh:229 Medium External URL 外部 URL
http://$EXPECTED_HOST scripts/start-url-token-web-terminal.sh:231 File Tree
10 files · 41.6 KB · 1381 lines Markdown 5f · 555L
Shell 3f · 484L
JavaScript 1f · 337L
JSON 1f · 5L
├─
▾
references
│ ├─
design-notes.md
Markdown
│ ├─
examples.md
Markdown
│ └─
lan-restricted.md
Markdown
├─
▾
scripts
│ ├─
start-local-web-terminal.sh
Shell
│ ├─
start-url-token-web-terminal.sh
⚠
Shell
│ ├─
stop-local-web-terminal.sh
Shell
│ └─
url-token-proxy.js
⚠
JavaScript
├─
_meta.json
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
Dependencies 3 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
ttyd | * | system | No | 系统依赖,需预装 |
tmux | * | system | No | 系统依赖,需预装 |
node | * | system | No | 系统依赖,用于运行proxy脚本 |
Security Positives
✓ 完整的安全设计文档(design-notes.md、lan-restricted.md)
✓ 代码结构清晰,注释充分
✓ 一次性token机制防重放
✓ 严格的Host/Origin验证防CSRF
✓ IP白名单过滤
✓ TTL自动清理机制
✓ 进程PID追踪便于管理
✓ 无外部网络请求
✓ 无凭证收割行为
✓ 无隐蔽执行逻辑