安全决策报告
browser-act
browser-act 仅含 SKILL.md 无实际代码,但其声明的功能范围极广(网络流量捕获、凭证访问、认证会话操作),allowed-tools 映射为 shell:WRITE 的完全通配符 Bash(browser-act:*),无法验证实际约束边界。文档-行为一致性无法通过代码审查确认。
为什么得出这个结论
0/4 个维度触发 通过
声明与实际能力
声明资源与推断能力基本一致。
复核
隐藏执行与外联
提取到 1 个一般风险产物,需要结合上下文判断。
通过
攻击链与高危发现
没有形成明确的恶意路径。
复核
依赖与供应链卫生
没有完整依赖信息,供应链判断需要保留弹性。
风险分是怎么被拉高的
无代码可审计 +15
仅 SKILL.md,无 scripts/ 代码,文档-行为一致性无法验证
shell:WRITE 权限声明宽泛 +15
allowed-tools: Bash(browser-act:*),完全通配符,声明与实际执行能力无法对齐
声明网络流量捕获能力 +10
明确提及 XHR/fetch/HAR 捕获,具备 MITM 类中间人能力
访问认证会话与浏览器配置 +8
可操作登录会话、cookies、browser profiles,凭证暴露面大
最关键的证据
中危 文档欺骗
无法验证文档-行为一致性
该技能仅包含 SKILL.md,无实际代码脚本(scripts/ 目录不存在)。无法通过代码审查确认文档声明的功能范围与实际实现一致,存在阴影功能风险。
SKILL.md:1 在部署前获取并审查 browser-act CLI 实际源码(pip show browser-act-cli 或 GitHub 仓库),确认其行为边界。
中危 权限提升
allowed-tools 通配符权限范围过大
Bash(browser-act:*) 映射为 shell:WRITE 完全通配符,但 browser-act CLI 子命令集未明确限制。无法确认 skill 调用者是否被限制在声明的'浏览器自动化'子集内,存在权限漂移风险。
SKILL.md:11 明确限制为具体子命令白名单,如 Bash(browser-act: get-skills|browser|extract|screenshot|capture|form|login),避免通配符。
中危 敏感访问
声明可操作认证会话和浏览器配置数据
SKILL.md 明确声明 skill 可访问登录会话、cookies、browser profiles,具备对用户认证状态的完整读写能力。若 browser-act CLI 实现不当,数据可能泄露或被篡改。
SKILL.md:16 验证 browser-act 是否通过本地文件存储凭证(profile 目录),确认存储路径及访问权限是否隔离于 skill 调用者进程。
低危 供应链
通过 uv/pip 安装第三方包
install 指令使用 uv tool install browser-act-cli 从 PyPI 安装,无法在安装前审计包内容,引入供应链风险。
SKILL.md:10 确认 browser-act-cli 包来源可信(查看 PyPI 主页、作者签名),考虑使用 --index-url 指向可信镜像。
低危 提示注入
警告不要跳过 get-skills 输出
SKILL.md 多次强调'Do NOT skip get-skills output'和'Do NOT truncate',且声称输出包含'operational directives'。这可能包含动态注入的指令序列,具有 prompt injection 风险。
SKILL.md:38 审查 browser-act get-skills core 的实际输出内容,确认其中不含未经来源验证的外部指令。
声明能力 vs 实际能力
文件系统 通过
声明 WRITE
→ 推断 WRITE
SKILL.md:permissions - CLI data directory, browser profiles, session logs 网络访问 通过
声明 READ
→ 推断 READ+WRITE
SKILL.md:permissions - Network access for CLI install; SKILL.md:features - network capture (XHR/fetch/HAR) 命令执行 通过
声明 WRITE
→ 推断 WRITE
allowed-tools: Bash(browser-act:*) 浏览器 通过
声明 WRITE
→ 推断 WRITE
SKILL.md:features - multi-browser operation, CDP connection to local Chrome 环境变量 通过
声明 NONE
→ 推断 UNKNOWN
无法验证 剪贴板 通过
声明 NONE
→ 推断 NONE
无法验证 技能调用 通过
声明 NONE
→ 推断 NONE
无法验证 数据库 通过
声明 NONE
→ 推断 NONE
无法验证 可疑产物与外联
中危 外部 URL
https://www.browseract.com SKILL.md:9
依赖与供应链
没有结构化依赖告警。
文件构成
1 个文件 · 59 行
Markdown 1 个文件 · 59 行
需关注文件 · 1
SKILL.md 无法验证文档-行为一致性 · allowed-tools 通配符权限范围过大 · 声明可操作认证会话和浏览器配置数据 · 通过 uv/pip 安装第三方包 · 警告不要跳过 get-skills 输出 · https://www.browseract.com
安全亮点
声明了数据本地化原则(仅 captcha challenge image 外传)
包含用户确认机制(Confirmation Gate protocol)
明确了浏览器配置文件隔离设计
支持显式用户审批后再执行敏感操作
使用标准 uv/pip 安装,非直接下载执行远程脚本