扫描报告
0 /100
Memelord
AI meme generation via Memelord API — image/video memes with webhook support
Memelord 是一个合法的 meme 生成 API 客户端,所有代码行为与 SKILL.md 声明完全一致,无阴影功能、无凭证收割、无数据外泄。pre-scan 标记的 base64 IOC 是误报(合法 API 图像解码)。
可以安装
可直接使用。无需修改。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | 所有脚本仅写入 --out/--png 指定的输出文件,路径由用户参数控制,无越权写 |
| 网络访问 | WRITE | WRITE | ✓ 一致 | 所有出站请求均为 POST/GET memelord.com API,完全对应 SKILL.md 声明的 5 个端点 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | 使用 node - <<'NODE' heredoc 执行内联脚本,属标准 CLI 工具模式,行为符合声明 |
1 严重 9 项发现
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(m[2], 'base64' scripts/ai-meme.sh:127 中危 外部 URL 外部 URL
https://memelord.com SKILL.md:6 中危 外部 URL 外部 URL
https://www.memelord.com/docs SKILL.md:10 中危 外部 URL 外部 URL
https://www.memelord.com/docs. SKILL.md:114 中危 外部 URL 外部 URL
https://www.memelord.com/api/v1/ai-meme/edit scripts/ai-meme-edit.sh:119 中危 外部 URL 外部 URL
https://www.memelord.com/api/v1/ai-meme scripts/ai-meme.sh:77 中危 外部 URL 外部 URL
https://www.memelord.com/api/v1/ai-video-meme/edit scripts/ai-video-meme-edit.sh:91 中危 外部 URL 外部 URL
https://www.memelord.com/api/v1/ai-video-meme scripts/ai-video-meme.sh:79 中危 外部 URL 外部 URL
https://www.memelord.com/api/video/render/remote?jobId=$(node scripts/video-render-remote.sh:53 目录结构
11 文件 · 27.1 KB · 972 行 Shell 9f · 852L
Markdown 1f · 114L
JSON 1f · 6L
├─
▾
scripts
│ ├─
ai-meme-edit.sh
Shell
│ ├─
ai-meme.sh
Shell
│ ├─
ai-video-meme-edit.sh
Shell
│ ├─
ai-video-meme.sh
Shell
│ ├─
render.sh
Shell
│ ├─
verify-webhook.sh
Shell
│ └─
video-render-remote.sh
Shell
├─
_env.sh
Shell
├─
_meta.json
JSON
├─
memelord.sh
Shell
└─
SKILL.md
Markdown
安全亮点
✓ 所有网络请求目标域唯一(memelord.com),无境外 IP 或未知端点
✓ 无环境变量遍历、无敏感路径(~/.ssh、~/.aws、.env)访问
✓ 无 base64/bash 管道、eval()、裸 IP 请求等高危模式
✓ 无远程脚本下载(curl|bash、wget|sh)
✓ 所有文件写入路径由用户 --out/--png 参数显式控制,无隐式写入
✓ API 密钥仅作 Authorization Bearer 头用途,无外传
✓ verify-webhook.sh 的 HMAC-SHA256 验证逻辑正确,无绕过
✓ 无 HTML 注释隐藏指令、无供应链恶意依赖
✓ base64 IOC(scripts/ai-meme.sh:127)为合法 API 图像解码(data:image/png;base64,... → Buffer.from),非混淆