中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 22/100
Last scan:2 days ago Rescan
22 /100
PathClaw
使用华银康集团 PathClaw 对病理切片进行泛癌预测
医疗影像诊断工具,核心功能为合法的远程病理切片分析,预扫描仅标记硬编码IP为高危IOC,但这是服务地址非恶意指标。主要风险为隐私合规声明缺失。
Skill NamePathClaw
Duration44.7s
Enginepi
Safe to install
建议补充医疗数据处理合规声明(如HIPAA/GDPR),明确告知用户数据将上传至外部服务器。如使用环境为企业内网,建议通过配置项而非硬编码方式管理API地址。

Findings 5 items

Severity Finding Location
Medium
隐私合规声明缺失
病理切片为敏感医疗数据(PHI),SKILL.md未说明数据处理是否符合HIPAA、GDPR或中国医疗数据管理规定。用户使用前应明确知晓数据将被上传至外部服务器。
使用华银康集团 PathClaw 对病理切片进行泛癌预测
→ 添加数据处理声明,说明数据流向、存储期限、是否符合医疗数据合规要求
 SKILL.md:1
Low
API地址硬编码
服务器地址http://119.91.47.20:8111/硬编码在文档中,不便于企业内网部署时的地址配置。
针对服务器 http://119.91.47.20:8111/
→ 建议通过环境变量或配置文件管理API地址,便于部署适配
 SKILL.md:7
Low
权限声明与实现轻微偏差
filesystem声明为NONE,但实际需要读取用户提供的.svs文件进行上传。
用户必须提供病理切片文件路径
→ 声明filesystem:READ以准确反映实际需求
 SKILL.md:31
Info
文件格式校验完善
实现了5项文件校验规则:路径存在、可读、大小非零、格式.svs、大小写不敏感,有效防止恶意文件上传。
文件路径必须存在,且为普通文件(非目录)...
→ 保持现有校验逻辑
 SKILL.md:35
Info
错误处理规范
定义了超时重试(2次指数退避)、HTTP状态码处理、token脱敏输出等安全实践。
日志中禁止输出完整token...
→ 保持现有错误处理规范
 SKILL.md:62
ResourceDeclaredInferredStatusEvidence
Filesystem NONE READ ✓ Aligned SKILL.md:31-48 要求读取用户提供的.svs文件进行上传
Network READ WRITE ✓ Aligned SKILL.md:7 硬编码外部API地址,用于上传切片和获取诊断结果
Shell NONE NONE 未发现shell命令执行
Environment NONE NONE 未访问环境变量
Clipboard NONE NONE 未使用剪贴板
Browser NONE NONE 无浏览器操作
Database NONE NONE 无数据库操作
1 High 5 findings
📡
High IP Address 硬编码 IP 地址
119.91.47.20
SKILL.md:7
🔗
Medium External URL 外部 URL
http://119.91.47.20:8111/
SKILL.md:7
🔗
Medium External URL 外部 URL
http://119.91.47.20:8111/api/user/login
SKILL.md:22
🔗
Medium External URL 外部 URL
http://119.91.47.20:8111/api/v1/diagnosis/run
SKILL.md:44
🔗
Medium External URL 外部 URL
http://119.91.47.20:8111/api/v1/diagnosis/
SKILL.md:56

File Tree

1 files · 4.9 KB · 115 lines
Markdown 1f · 115L
└─ 📝 SKILL.md Markdown 115L · 4.9 KB

Security Positives

✓ 医疗诊断功能清晰,声明与执行一致
✓ 文件校验规则完善(5项检查)
✓ 错误处理规范(超时重试、状态码处理)
✓ token脱敏输出要求明确
✓ 无发现凭证收割、远程代码执行等恶意行为
✓ 无阴影功能(文档与行为一致)
✓ 无HTML隐藏指令或base64编码payload