Scan Report
0 /100
xo-protocol
Dating intelligence API — identity verification, compatibility scoring, reputation, and social signals via XO Protocol. 约会信任层 API,验证身份、匹配兼容性、查询声誉。
XO Protocol 是一个合法的约会信任层 API 技能,代码为纯 REST 客户端,仅通过 HTTPS 调用外部 API 端点,无任何恶意行为。
Safe to install
无需阻断,可直接使用。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | READ | READ | ✓ Aligned | sdk/index.js 通过 fetch 调用外部 API,所有代码均通过 HTTPS 进行 REST API 调用,符合 SKILL.md 声明的 API … |
| Filesystem | NONE | NONE | — | 所有代码无任何文件系统读写操作 |
| Shell | NONE | NONE | — | 无 subprocess、child_process、eval 等代码执行调用 |
| Environment | NONE | READ | ✓ Aligned | examples/mcp-server.js 仅读取 XO_API_KEY 和 XO_ACCESS_TOKEN(功能必需凭证),无遍历敏感环境变量行为 |
16 findings
Medium External URL 外部 URL
https://xoxo.space/en/protocol README.md:11 Medium External URL 外部 URL
https://protocol.xoxo.space/protocol/docs README.md:12 Medium External URL 外部 URL
https://yourapp.com/callback README.md:51 Medium External URL 外部 URL
https://protocol.xoxo.space/protocol/v1/auth/token README.md:225 Medium External URL 外部 URL
https://xoxo.space/en/oauth/authorize README.md:235 Medium External URL 外部 URL
https://yourapp.com/callback?code=AUTH_CODE&state=random123 README.md:245 Medium External URL 外部 URL
https://tools.ietf.org/html/rfc7807 README.md:309 Medium External URL 外部 URL
https://xoxo.space/en/protocol#cta README.md:324 Medium External URL 外部 URL
https://xoxo.space README.md:330 Medium External URL 外部 URL
https://yourapp.com/auth/xo/callback examples/dating-app-integration.js:19 Medium External URL 外部 URL
https://protocol.xoxo.space examples/mcp-server.js:34 Medium External URL 外部 URL
https://xoxo.space/en/oauth/authorize?$ examples/quickstart.js:34 Medium External URL 外部 URL
https://xoxo.space/protocol examples/trust-badge.html:139 Medium External URL 外部 URL
https://xoxo.space/en/oauth/authorize?client_id=...&redirect_uri=...&scope=...&state=...&response_type=code openapi.yaml:26 Medium External URL 外部 URL
https://staging-api.rooit.net openapi.yaml:93 Medium External URL 外部 URL
https://myapp.com/callback sdk/index.js:56 File Tree
10 files · 69.8 KB · 2327 lines JavaScript 4f · 796L
YAML 1f · 748L
Markdown 2f · 419L
HTML 1f · 243L
TypeScript 1f · 105L
JSON 1f · 16L
├─
▾
examples
│ ├─
dating-app-integration.js
JavaScript
│ ├─
mcp-server.js
JavaScript
│ ├─
quickstart.js
JavaScript
│ └─
trust-badge.html
HTML
├─
▾
sdk
│ ├─
index.d.ts
TypeScript
│ ├─
index.js
JavaScript
│ └─
package.json
JSON
├─
openapi.yaml
YAML
├─
README.md
Markdown
└─
SKILL.md
Markdown
Dependencies 4 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
@modelcontextprotocol/sdk | 未指定 | npm | No | 仅在 examples/mcp-server.js 示例中使用,非 SDK 核心依赖 |
express | 未指定 | npm | No | 仅在 examples/dating-app-integration.js 示例中使用,非核心依赖 |
express-session | 未指定 | npm | No | 仅在 examples/dating-app-integration.js 示例中使用 |
无依赖(核心 SDK) | 0 | native | No | sdk/index.js 使用原生 fetch,无第三方依赖 |
Security Positives
✓ 零外部依赖(sdk/index.js 为零依赖纯 fetch 实现)
✓ 所有网络通信均为 HTTPS,目标为明确的 API 域名(protocol.xoxo.space)
✓ OAuth 2.0 流程规范,使用 state 参数防 CSRF,支持 PKCE
✓ 代码结构清晰,无混淆、无 base64 编码、无隐藏逻辑
✓ SKILL.md 声明与代码行为完全一致,无阴影功能
✓ MCP server 严格遵守只读 API 交互,无越权操作