中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:2 天前 重新扫描
0 /100
reivo
AI Agent cost optimizer with budget tracking, loop detection, and smart routing
Reivo是一个合法的AI成本优化工具,代码仅执行声明的API调用,无恶意行为。硬编码的API_KEY占位符是文档示例,不影响实际安全。
技能名称reivo
分析耗时51.8s
引擎pi
可以安装
该技能可以安全使用。建议用户通过官方渠道获取真实API密钥而非使用文档示例。
资源类型声明权限推断权限状态证据
文件系统 NONE NONE 所有代码无fs模块调用
网络访问 READ READ ✓ 一致 仅调用app.reivo.dev和proxy.reivo.dev
命令执行 WRITE NONE ✓ 一致 SKILL.md声明使用curl,但实际代码使用fetch API,无subprocess
环境变量 READ READ ✓ 一致 仅读取REIVO_API_KEY
技能调用 NONE NONE 无跨技能调用
1 高危 21 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="rv_your_key_here"
SKILL.md:188
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/ClawHub-reivo-blue
README.md:3
🔗
中危 外部 URL 外部 URL
https://clawhub.org/skills/reivo
README.md:3
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/version-0.4.0-green
README.md:4
🔗
中危 外部 URL 外部 URL
https://reivo.dev
README.md:16
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev
README.md:70
🔗
中危 外部 URL 外部 URL
https://proxy.reivo.dev/openai/v1
SKILL.md:31
🔗
中危 外部 URL 外部 URL
https://proxy.reivo.dev/anthropic/v1
SKILL.md:32
🔗
中危 外部 URL 外部 URL
https://proxy.reivo.dev/google/v1beta
SKILL.md:33
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/overview?days=7
SKILL.md:47
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/defense-status
SKILL.md:62
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/optimization
SKILL.md:76
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/settings
SKILL.md:93
🔗
中危 外部 URL 外部 URL
https://hooks.slack.com/services/...
SKILL.md:132
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/settings
SKILL.md:140
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/provider-keys
SKILL.md:149
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/agents?days=30
SKILL.md:158
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1/overview?days=30
SKILL.md:169
🔗
中危 外部 URL 外部 URL
https://hooks.slack.com/services/T.../B.../xxx
commands/slack.js:13
🔗
中危 外部 URL 外部 URL
https://app.reivo.dev/api/v1
lib/dashboard-client.js:1
🔗
中危 外部 URL 外部 URL
https://proxy.reivo.dev
lib/proxy-client.js:1

目录结构

20 文件 · 32.3 KB · 1007 行
JavaScript 17f · 668L Markdown 2f · 314L JSON 1f · 25L
├─ 📁 commands
│ ├─ 📜 budget.js JavaScript 52L · 1.7 KB
│ ├─ 📜 defense.js JavaScript 45L · 1.4 KB
│ ├─ 📜 mode.js JavaScript 28L · 943 B
│ ├─ 📜 month.js JavaScript 46L · 1.3 KB
│ ├─ 📜 off.js JavaScript 6L · 401 B
│ ├─ 📜 on.js JavaScript 5L · 334 B
│ ├─ 📜 optimize.js JavaScript 35L · 1012 B
│ ├─ 📜 share.js JavaScript 28L · 833 B
│ ├─ 📜 slack.js JavaScript 26L · 803 B
│ └─ 📜 status.js JavaScript 47L · 1.5 KB
├─ 📁 lib
│ ├─ 📜 dashboard-client.js JavaScript 40L · 929 B
│ ├─ 📜 formatter.js JavaScript 24L · 785 B
│ ├─ 📜 proxy-client.js JavaScript 27L · 581 B
│ └─ 📜 share-image.js JavaScript 5L · 165 B
├─ 📁 test
│ ├─ 📜 dashboard-client.test.js JavaScript 138L · 4.3 KB
│ └─ 📜 formatter.test.js JavaScript 77L · 2.7 KB
├─ 📋 package.json JSON 25L · 633 B
├─ 📝 README.md Markdown 76L · 2.8 KB
├─ 📜 setup.js JavaScript 39L · 1.4 KB
└─ 📝 SKILL.md Markdown 238L · 8.0 KB

安全亮点

✓ 代码结构清晰,所有命令都通过统一的DashboardClient进行API调用
✓ API key格式本地验证(长度、前缀),无需网络请求验证
✓ 凭证处理规范:输出时截断为rv_...xxxx格式
✓ 文档明确说明不存储prompt/completion内容,仅存储元数据
✓ provider keys建议在dashboard管理,不在代码中配置
✓ 无subprocess、eval、base64解码等危险模式
✓ 依赖清空(package.json无外部依赖)