扫描报告
5 /100
ssh-handoff
Create and reuse a secure shared terminal handoff when a human must authenticate first and the agent must resume work in the same shell session afterward
ssh-handoff 是一个合法的 tmux 会话共享和浏览器终端工具,代码质量高,包含完善的安全控制(token验证、IP过滤、TTL自动清理),无恶意行为
可以安装
可直接使用。注意在外部通信渠道(如Telegram/Discord)上不要随意启动浏览器终端模式
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 提示 | 文档使用示例IP地址 | SKILL.md:122 |
| 提示 | 安全控制完善 | scripts/url-token-proxy.js:1 |
| 提示 | Guardrails文档完善 | SKILL.md:105 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | NONE | WRITE | ✓ 一致 | scripts/start-url-token-web-terminal.sh:137-145 调用tmux/ttyd/node命令 |
| 文件系统 | NONE | WRITE | ✓ 一致 | scripts/start-url-token-web-terminal.sh:99 写入/tmp状态文件 |
| 网络访问 | NONE | WRITE | ✓ 一致 | scripts/start-url-token-web-terminal.sh:137 启动ttyd/tcp服务 |
2 高危 4 项发现
高危 IP 地址 硬编码 IP 地址
192.0.2.10 SKILL.md:122 高危 IP 地址 硬编码 IP 地址
192.0.2.20 SKILL.md:122 中危 外部 URL 外部 URL
https://$EXPECTED_HOST scripts/start-url-token-web-terminal.sh:229 中危 外部 URL 外部 URL
http://$EXPECTED_HOST scripts/start-url-token-web-terminal.sh:231 目录结构
10 文件 · 41.6 KB · 1381 行 Markdown 5f · 555L
Shell 3f · 484L
JavaScript 1f · 337L
JSON 1f · 5L
├─
▾
references
│ ├─
design-notes.md
Markdown
│ ├─
examples.md
Markdown
│ └─
lan-restricted.md
Markdown
├─
▾
scripts
│ ├─
start-local-web-terminal.sh
Shell
│ ├─
start-url-token-web-terminal.sh
⚠
Shell
│ ├─
stop-local-web-terminal.sh
Shell
│ └─
url-token-proxy.js
⚠
JavaScript
├─
_meta.json
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 3 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
ttyd | * | system | 否 | 系统依赖,需预装 |
tmux | * | system | 否 | 系统依赖,需预装 |
node | * | system | 否 | 系统依赖,用于运行proxy脚本 |
安全亮点
✓ 完整的安全设计文档(design-notes.md、lan-restricted.md)
✓ 代码结构清晰,注释充分
✓ 一次性token机制防重放
✓ 严格的Host/Origin验证防CSRF
✓ IP白名单过滤
✓ TTL自动清理机制
✓ 进程PID追踪便于管理
✓ 无外部网络请求
✓ 无凭证收割行为
✓ 无隐蔽执行逻辑