Skill Trust Decision
browser-act
browser-act 仅含 SKILL.md 无实际代码,但其声明的功能范围极广(网络流量捕获、凭证访问、认证会话操作),allowed-tools 映射为 shell:WRITE 的完全通配符 Bash(browser-act:*),无法验证实际约束边界。文档-行为一致性无法通过代码审查确认。
Why this conclusion was reached
0/4 dimensions flagged Pass
Declared vs actual capability
Declared resources and inferred behavior are broadly aligned.
Review
Hidden execution and egress
1 lower-risk artifacts were extracted and still need context.
Pass
Attack chain and severe findings
There is no explicit malicious chain in the report.
Review
Dependencies and supply chain hygiene
Dependency information is incomplete, so supply-chain confidence stays limited.
What drove the risk score up
无代码可审计 +15
仅 SKILL.md,无 scripts/ 代码,文档-行为一致性无法验证
shell:WRITE 权限声明宽泛 +15
allowed-tools: Bash(browser-act:*),完全通配符,声明与实际执行能力无法对齐
声明网络流量捕获能力 +10
明确提及 XHR/fetch/HAR 捕获,具备 MITM 类中间人能力
访问认证会话与浏览器配置 +8
可操作登录会话、cookies、browser profiles,凭证暴露面大
Most important evidence
Medium Doc Mismatch
无法验证文档-行为一致性
该技能仅包含 SKILL.md,无实际代码脚本(scripts/ 目录不存在)。无法通过代码审查确认文档声明的功能范围与实际实现一致,存在阴影功能风险。
SKILL.md:1 在部署前获取并审查 browser-act CLI 实际源码(pip show browser-act-cli 或 GitHub 仓库),确认其行为边界。
Medium Priv Escalation
allowed-tools 通配符权限范围过大
Bash(browser-act:*) 映射为 shell:WRITE 完全通配符,但 browser-act CLI 子命令集未明确限制。无法确认 skill 调用者是否被限制在声明的'浏览器自动化'子集内,存在权限漂移风险。
SKILL.md:11 明确限制为具体子命令白名单,如 Bash(browser-act: get-skills|browser|extract|screenshot|capture|form|login),避免通配符。
Medium Sensitive Access
声明可操作认证会话和浏览器配置数据
SKILL.md 明确声明 skill 可访问登录会话、cookies、browser profiles,具备对用户认证状态的完整读写能力。若 browser-act CLI 实现不当,数据可能泄露或被篡改。
SKILL.md:16 验证 browser-act 是否通过本地文件存储凭证(profile 目录),确认存储路径及访问权限是否隔离于 skill 调用者进程。
Low Supply Chain
通过 uv/pip 安装第三方包
install 指令使用 uv tool install browser-act-cli 从 PyPI 安装,无法在安装前审计包内容,引入供应链风险。
SKILL.md:10 确认 browser-act-cli 包来源可信(查看 PyPI 主页、作者签名),考虑使用 --index-url 指向可信镜像。
Low Prompt Injection
警告不要跳过 get-skills 输出
SKILL.md 多次强调'Do NOT skip get-skills output'和'Do NOT truncate',且声称输出包含'operational directives'。这可能包含动态注入的指令序列,具有 prompt injection 风险。
SKILL.md:38 审查 browser-act get-skills core 的实际输出内容,确认其中不含未经来源验证的外部指令。
Declared capability vs actual capability
Filesystem Pass
Declared WRITE
→ Inferred WRITE
SKILL.md:permissions - CLI data directory, browser profiles, session logs Network Pass
Declared READ
→ Inferred READ+WRITE
SKILL.md:permissions - Network access for CLI install; SKILL.md:features - network capture (XHR/fetch/HAR) Shell Pass
Declared WRITE
→ Inferred WRITE
allowed-tools: Bash(browser-act:*) Browser Pass
Declared WRITE
→ Inferred WRITE
SKILL.md:features - multi-browser operation, CDP connection to local Chrome Environment Pass
Declared NONE
→ Inferred UNKNOWN
无法验证 Clipboard Pass
Declared NONE
→ Inferred NONE
无法验证 Skill Invoke Pass
Declared NONE
→ Inferred NONE
无法验证 Database Pass
Declared NONE
→ Inferred NONE
无法验证 Suspicious artifacts and egress
Medium External URL
https://www.browseract.com SKILL.md:9
Dependencies and supply chain
There are no structured dependency warnings.
File composition
1 files · 59 lines
Markdown 1 files · 59 lines
Files of concern · 1
SKILL.md 无法验证文档-行为一致性 · allowed-tools 通配符权限范围过大 · 声明可操作认证会话和浏览器配置数据 · 通过 uv/pip 安装第三方包 · 警告不要跳过 get-skills 输出 · https://www.browseract.com
Security positives
声明了数据本地化原则(仅 captcha challenge image 外传)
包含用户确认机制(Confirmation Gate protocol)
明确了浏览器配置文件隔离设计
支持显式用户审批后再执行敏感操作
使用标准 uv/pip 安装,非直接下载执行远程脚本