中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:8 hr ago Rescan
5 /100
bracketsbot-skill
Generate, validate, and submit BracketsBot NCAA tournament brackets
BracketsBot 技能为合法的 NCAA bracket 预测工具,所有声明的能力与实际行为一致,无恶意行为发现。存在轻微供应链风险(依赖版本未锁定)。
Skill Namebracketsbot-skill
Duration63.9s
Enginepi
Safe to install
建议锁定依赖版本 `incur@^0.3.3` 和 `viem@^2.22.17` 到精确版本以降低供应链风险,但不影响当前使用。

Findings 2 items

Severity Finding Location
Low
依赖版本未锁定 Supply Chain
package.json 中使用 caret 版本范围 `^0.3.3` 和 `^2.22.17`,允许次版本和补丁版本更新,存在供应链攻击风险。
"incur": "^0.3.3",
"viem": "^2.22.17"
→ 建议锁定精确版本:`[email protected]` 和 `[email protected]`,或使用 lock 文件确保依赖一致性
 package.json:20
Info
已知的合约部署地址 Sensitive Access
代码中硬编码了 Base 网络上的 BracketsBot 合约地址,这是合法的主网部署地址。
0x8d9a08b06a64be28a3a7b5e5b820561a1876b655
→ 非安全问题,仅为公开的合约地址
 scripts/prepare-submit-transaction.mjs:68
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned SKILL.md 声明文件读写,scripts/cli.mjs:19 使用 spawn 执行子脚本读写 JSON 文件
Network READ WRITE ✓ Aligned scripts/share-link.mjs:45 POST 到 brackets.bot/api/draft;walk-apply-pick.mjs:63 P…
Shell NONE NONE 使用 Node.js spawn 执行本地脚本,不涉及 shell 命令注入
Environment NONE READ ✓ Aligned 仅用于配置路径(TOURNAMENT_FILE 等),不收集敏感信息
Skill Invoke NONE NONE 无跨技能调用
Clipboard NONE NONE 无剪贴板访问
Browser NONE NONE 生成前端 URL 由用户打开,无无头浏览器控制
Database NONE NONE 无数据库操作
11 findings
🔗
Medium External URL 外部 URL
https://brackets.bot/?p=$
README.md:81
🔗
Medium External URL 外部 URL
https://www.sports-reference.com/cbb/seasons/men/2026-ratings.html
reference/2026-season-guide.md:67
🔗
Medium External URL 外部 URL
https://kenpom.com
reference/2026-season-guide.md:68
🔗
Medium External URL 外部 URL
https://barttorvik.com
reference/2026-season-guide.md:69
🔗
Medium External URL 外部 URL
https://www.espn.com/mens-college-basketball/bpi
reference/2026-season-guide.md:70
🔗
Medium External URL 外部 URL
https://json-schema.org/draft/2020-12/schema
schema/bracket-output.schema.json:2
🔗
Medium External URL 外部 URL
https://basedketball.xyz/schemas/bracketsbot/bracket-output.schema.json
schema/bracket-output.schema.json:3
🔗
Medium External URL 外部 URL
https://basedketball.xyz/schemas/bracketsbot/team-data.schema.json
schema/team-data.schema.json:3
🔗
Medium External URL 外部 URL
https://basedketball.xyz/schemas/bracketsbot/tournament.schema.json
schema/tournament.schema.json:3
🔗
Medium External URL 外部 URL
https://brackets.bot
scripts/cli.mjs:342
💰
Medium Wallet Address 加密货币钱包地址
0x8d9a08b06a64be28a3a7b5e5b820561a1876b655
scripts/prepare-submit-transaction.mjs:68

File Tree

26 files · 125.8 KB · 4598 lines
JavaScript 14f · 2113L JSON 6f · 1945L Markdown 5f · 527L Shell 1f · 13L
├─ 📁 data
│ └─ 📋 team-data.json JSON 812L · 17.7 KB
├─ 📁 examples
│ ├─ 📁 policies
│ │ └─ 📜 simple-rating-policy.mjs JavaScript 13L · 448 B
│ └─ 📁 wallet-submission
│ └─ 🔧 bankr-cli-submit.sh Shell 13L · 363 B
├─ 📁 reference
│ ├─ 📝 2026-season-guide.md Markdown 97L · 4.4 KB
│ ├─ 📋 tournament.json JSON 924L · 18.0 KB
│ ├─ 📝 WALK_STATE.md Markdown 94L · 2.2 KB
│ └─ 📝 WALLET_INTEGRATIONS.md Markdown 69L · 1.8 KB
├─ 📁 schema
│ ├─ 📋 bracket-output.schema.json JSON 64L · 1.5 KB
│ ├─ 📋 team-data.schema.json JSON 74L · 1.7 KB
│ └─ 📋 tournament.schema.json JSON 47L · 1.2 KB
├─ 📁 scripts
│ ├─ 📁 lib
│ │ └─ 📜 bracket-walk.mjs JavaScript 201L · 5.6 KB
│ ├─ 📜 build-example-team-data.mjs JavaScript 71L · 2.1 KB
│ ├─ 📜 build-season-guide.mjs JavaScript 128L · 4.5 KB
│ ├─ 📜 build-team-data.mjs JavaScript 157L · 5.4 KB
│ ├─ 📜 cli.mjs JavaScript 368L · 12.7 KB
│ ├─ 📜 generate-bracketsbot-bracket.mjs JavaScript 189L · 5.3 KB
│ ├─ 📜 prepare-submit-transaction.mjs JavaScript 172L · 5.1 KB
│ ├─ 📜 semantic-run.mjs JavaScript 136L · 3.7 KB
│ ├─ 📜 share-link.mjs JavaScript 123L · 3.8 KB
│ ├─ 📜 validate-bracketsbot.mjs JavaScript 237L · 7.1 KB
│ ├─ 📜 walk-apply-pick.mjs JavaScript 79L · 2.2 KB
│ ├─ 📜 walk-next-game.mjs JavaScript 106L · 2.8 KB
│ └─ 📜 walk-run-policy.mjs JavaScript 133L · 3.7 KB
├─ 📋 package.json JSON 24L · 657 B
├─ 📝 README.md Markdown 122L · 4.2 KB
└─ 📝 SKILL.md Markdown 145L · 7.9 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
incur ^0.3.3 npm No 版本未锁定,允许更新到 0.4.x
viem ^2.22.17 npm No 版本未锁定,允许更新到 2.23.x

Security Positives

✓ 代码完全可读,无混淆或编码执行
✓ 所有网络请求仅指向官方 brackets.bot 域名
✓ 无凭证收割、环境变量扫描或敏感文件访问
✓ 无 C2 通信或数据外泄行为
✓ 使用 spawn 而非 shell 执行,降低命令注入风险
✓ walk-run-policy 导入的策略模块是用户明确提供的,符合预期用途
✓ 无 .env 文件或凭证存储