Scan Report
10 /100
income-lab
收入实验与执行系统,帮助用户系统地尝试各种合法赚钱方式、记录实验过程、分析效果、持续优化策略
收入实验追踪工具,功能声明与实现一致。payment.py 中存在硬编码 API 密钥,但属于技能自身的计费服务密钥,非用户凭证收割,风险可控。
Safe to install
将 payment.py 中的 BILLING_API_KEY 改为环境变量注入,其余代码安全,可正常使用。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Medium | 硬编码计费 API 密钥 | payment.py:12 |
| Low | requirements.txt 无版本锁定 | requirements.txt:1 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md 声明 tools 列表包含 experiment_tracker.py 和 weekly_reporter.py,两者均读写 ~/.incom… |
| Network | READ | READ | ✓ Aligned | SKILL.md 声明 SkillPay 计费集成,payment.py:42-55 向 skillpay.me 发起 GET/POST 请求,用途与声明一致 |
| Environment | NONE | READ | ✓ Aligned | payment.py:89 仅读取 SKILLPAY_USER_ID,未遍历或外传环境变量 |
| Shell | NONE | NONE | — | 未发现 subprocess、os.system 等 shell 执行 |
1 High 2 findings
High API Key 疑似硬编码凭证
API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2" payment.py:12 Medium External URL 外部 URL
https://skillpay.me payment.py:11 File Tree
8 files · 38.4 KB · 1272 lines Markdown 3f · 632L
Python 3f · 626L
Text 1f · 9L
JSON 1f · 5L
├─
▾
references
│ ├─
income-methods.md
Markdown
│ └─
retrospective-framework.md
Markdown
├─
▾
scripts
│ ├─
experiment_tracker.py
Python
│ └─
weekly_reporter.py
Python
├─
_meta.json
JSON
├─
payment.py
Python
├─
requirements.txt
Text
└─
SKILL.md
Markdown
Dependencies 4 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
pandas | >=2.0.0 | pip | No | 无版本锁定 |
numpy | >=1.24.0 | pip | No | 无版本锁定 |
matplotlib | >=3.7.0 | pip | No | 无版本锁定 |
python-dateutil | >=2.8.0 | pip | No | 无版本锁定 |
Security Positives
✓ 功能代码(experiment_tracker.py、weekly_reporter.py)逻辑清晰,无恶意行为
✓ SKILL.md 声明的功能与实际代码完全对应,无阴影功能
✓ 所有文件操作限制在 ~/.income-lab 本地目录,无越权访问
✓ 网络请求仅用于计费(skillpay.me),用途明确且已声明
✓ 未发现环境变量遍历、凭证收割、远程代码执行等高危指标
✓ payment.py 中硬编码的密钥为技能自身计费密钥,非用户凭证