扫描报告
40 /100
varg-ai
AI视频/图像/语音/音乐生成工具
远程脚本执行命令存在于安装提示中,虽未实际执行但存在文档-行为偏差;chmod权限声明过于宽泛但未实际越权使用。整体为合法的AI视频生成工具,无恶意意图证据。
谨慎使用
建议:1) 将远程bun安装改为下载脚本后审查再执行,或使用包管理器;2) 将chmod:*收窄为chmod:600等具体权限;3) 在SKILL.md中明确说明本地渲染模式的安装步骤和潜在风险。
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 中危 | 远程脚本管道执行提示 | scripts/setup.sh:187 |
| 低危 | chmod权限声明过于宽泛 | SKILL.md:18 |
| 提示 | 凭证文件写入操作 | scripts/setup.ts:34 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md 声明 Read/Write/Edit;setup.ts 写入 ~/.varg/credentials |
| 网络访问 | READ | READ | ✓ 一致 | 仅使用 curl 调用 varg.ai API,无其他网络行为 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | 使用 Bash 调用 bun/curl/npx,权限与使用相符 |
| 环境变量 | READ | READ | ✓ 一致 | 仅读取 VARG_API_KEY 等声明的 env keys |
1 严重 30 项发现
严重 危险命令 危险 Shell 命令
curl -fsSL https://bun.sh/install | bash scripts/setup.sh:187 中危 外部 URL 外部 URL
https://app.varg.ai/api/auth/cli/send-otp SKILL.md:76 中危 外部 URL 外部 URL
https://app.varg.ai/api/auth/cli/verify-otp SKILL.md:83 中危 外部 URL 外部 URL
https://api.varg.ai/v1/balance SKILL.md:103 中危 外部 URL 外部 URL
https://app.varg.ai/api/billing/checkout SKILL.md:134 中危 外部 URL 外部 URL
https://app.varg.ai SKILL.md:137 中危 外部 URL 外部 URL
https://checkout.stripe.com/... SKILL.md:140 中危 外部 URL 外部 URL
https://app.varg.ai/dashboard** SKILL.md:144 中危 外部 URL 外部 URL
https://render.varg.ai/api/render SKILL.md:173 中危 外部 URL 外部 URL
https://render.varg.ai/api/render/jobs/JOB_ID SKILL.md:179 中危 外部 URL 外部 URL
https://api.varg.ai/v1/image SKILL.md:219 中危 外部 URL 外部 URL
https://fal.ai/dashboard/keys references/byok.md:32 中危 外部 URL 外部 URL
https://elevenlabs.io/app/settings/api-keys references/byok.md:33 中危 外部 URL 外部 URL
https://higgsfield.ai references/byok.md:34 中危 外部 URL 外部 URL
https://replicate.com/account/api-tokens references/byok.md:35 中危 外部 URL 外部 URL
https://api.varg.ai/v1/speech references/byok.md:60 中危 外部 URL 外部 URL
https://jqlang.github.io/jq/ references/cloud-render.md:121 中危 外部 URL 外部 URL
https://s3.varg.ai/renders/xxx.mp4 references/cloud-render.md:137 中危 外部 URL 外部 URL
https://render.varg.ai/api/render/jobs/JOB_ID/stream references/cloud-render.md:162 中危 外部 URL 外部 URL
https://s3.varg.ai/logos/brand.png references/components.md:427 中危 外部 URL 外部 URL
https://api.varg.ai/v1 references/gateway-api.md:16 中危 外部 URL 外部 URL
https://s3.varg.ai/uploads/character.png references/gateway-api.md:57 中危 外部 URL 外部 URL
https://s3.varg.ai/o/abc123.mp4 references/gateway-api.md:141 中危 外部 URL 外部 URL
https://render.varg.ai references/gateway-api.md:263 中危 外部 URL 外部 URL
https://s3.varg.ai/renders/1710345600_abc123.mp4 references/gateway-api.md:314 中危 外部 URL 外部 URL
https://s3.varg.ai/cache/def456.png references/gateway-api.md:317 中危 外部 URL 外部 URL
https://s3.varg.ai/clients/birthday/portrait.jpg references/recipes.md:300 中危 外部 URL 外部 URL
https://render.varg.ai/api/render/jobs/$JOB_ID references/templates.md:72 中危 外部 URL 外部 URL
https://bun.sh/install scripts/setup.sh:187 中危 外部 URL 外部 URL
https://api.varg.ai scripts/setup.ts:17 目录结构
13 文件 · 122.5 KB · 3833 行 Markdown 11f · 3397L
TypeScript 1f · 233L
Shell 1f · 203L
├─
▾
references
│ ├─
byok.md
Markdown
│ ├─
cloud-render.md
Markdown
│ ├─
common-errors.md
Markdown
│ ├─
components.md
Markdown
│ ├─
gateway-api.md
Markdown
│ ├─
local-render.md
Markdown
│ ├─
models.md
Markdown
│ ├─
prompting.md
Markdown
│ ├─
recipes.md
Markdown
│ └─
templates.md
Markdown
├─
▾
scripts
│ ├─
setup.sh
Shell
│ └─
setup.ts
TypeScript
└─
SKILL.md
Markdown
安全亮点
✓ 无凭证收割或数据外泄行为
✓ API密钥处理规范(使用变量引用而非明文)
✓ 凭证仅存储于本地 ~/.varg/ 目录
✓ 远程curl调用均为可信的varg.ai官方API
✓ 代码结构清晰,无混淆或隐藏逻辑
✓ setup.sh中危险命令仅为提示信息,未实际执行