中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 20/100
Last scan:8 hr ago Rescan
20 /100
visual-muse
ComfyUI 图像生成工坊 — 用自然语言描述需求,自动生成高质量 AI 图片
Visual Muse 技能整体安全,文档存在一处危险的 rm -rf ~ 命令但上下文分析为文档错误(误将 glob 模式写在 mv 命令位置),非恶意代码
Skill Namevisual-muse
Duration75.6s
Enginepi
Safe to install
修复 TROUBLESHOOTING.md 中的命令顺序错误,将 rm -rf ~ 替换为正确的清理命令

Findings 3 items

Severity Finding Location
Low
文档中存在危险的 rm -rf ~ 命令 Doc Mismatch
TROUBLESHOOTING.md 第52行包含 rm -rf ~ 命令,位于清理 session 部分。分析为文档错误:原本应执行 'mv ~/.openclaw/workspace/*.log ~/.openclaw/workspace/archive/' 但 glob 模式写错位置,导致 rm -rf ~ 被误植
mv ~/.openclaw/workspace/*.log ~/.openclaw/workspace/archive/ 2>/dev/null
rm -rf ~/.openclaw/agents/main/sessions/*
→ 将命令顺序修正,或确认 rm -rf ~ 是文档错误后删除
 TROUBLESHOOTING.md:52
Low
pip install 使用无版本锁定 Supply Chain
setup.sh 中 'pip install torch torchvision torchaudio' 和 'pip install -r requirements.txt' 未指定版本,可能引入依赖不确定性
pip install --upgrade pip setuptools wheel -q
pip install torch torchvision torchaudio -q
→ 建议添加版本锁定:pip install torch==2.x.x torchvision==0.x.x torchaudio==2.x.x
 scripts/setup.sh:55
Info
git clone 使用 --depth 1 克隆最新版本 Supply Chain
ComfyUI 和 ComfyUI-Manager 使用 --depth 1 克隆,可能引入不稳定性
git clone --depth 1 https://github.com/comfyanonymous/ComfyUI.git
→ 考虑使用 tag 或 commit hash 来确保可重现性
 scripts/setup.sh:42
ResourceDeclaredInferredStatusEvidence
Filesystem READ WRITE ✓ Aligned setup.sh:55 mkdir -p 创建多级目录
Network READ READ ✓ Aligned 仅连接本地 COMFYUI_API_URL
Shell READ WRITE ✓ Aligned setup.sh 调用 git/pip/curl
Environment NONE READ ✓ Aligned 仅读取 COMFYUI_API_URL
Skill Invoke NONE NONE 无越权技能调用
Clipboard NONE NONE N/A
Browser NONE NONE N/A
Database NONE NONE 仅操作本地 JSON 文件
1 Critical 16 findings
💀
Critical Dangerous Command 危险 Shell 命令
rm -rf ~
TROUBLESHOOTING.md:52
🔗
Medium External URL 外部 URL
https://huggingface.co/stabilityai/stable-diffusion-xl-base-1.0
README.md:73
🔗
Medium External URL 外部 URL
https://huggingface.co/Lykon/DreamShaper
README.md:74
🔗
Medium External URL 外部 URL
https://huggingface.co/RunDiffusion/Juggernaut-XL-v9
README.md:75
🔗
Medium External URL 外部 URL
https://huggingface.co/cagliostrolab/animagine-xl-3.1
README.md:76
🔗
Medium External URL 外部 URL
http://127.0.0.1:8188
README.md:132
🔗
Medium External URL 外部 URL
http://host.docker.internal:8188
README.md:134
🔗
Medium External URL 外部 URL
https://www.comfy.org/download
README.md:139
🔗
Medium External URL 外部 URL
https://hf-mirror.com/madebyollin/sdxl-vae-fp16-fix/resolve/main/sdxl_vae.safetensors
TROUBLESHOOTING.md:16
🔗
Medium External URL 外部 URL
https://ghfast.top/https://github.com/comfyanonymous/ComfyUI.git
scripts/setup.sh:69
🔗
Medium External URL 外部 URL
https://ghfast.top/https://github.com/ltdrdata/ComfyUI-Manager.git
scripts/setup.sh:98
🔗
Medium External URL 外部 URL
https://huggingface.co/stabilityai/stable-diffusion-xl-base-1.0/resolve/main/sd_xl_base_1.0.safetensors
scripts/setup.sh:154
🔗
Medium External URL 外部 URL
https://huggingface.co/stabilityai/sdxl-vae/resolve/main/sdxl_vae.safetensors
scripts/setup.sh:159
🔗
Medium External URL 外部 URL
https://huggingface.co/comfyanonymous/flux_text_encoders/resolve/main/clip_l.safetensors
scripts/setup.sh:164
🔗
Medium External URL 外部 URL
http://host.docker.internal:8188/object_info/CheckpointLoaderSimple
tools/paint-dispatch.sh:59
🔗
Medium External URL 外部 URL
http://host.docker.internal:8188/system_stats
tools/quick-generate.sh:20

File Tree

22 files · 72.8 KB · 2240 lines
Markdown 11f · 917L Python 3f · 580L Shell 4f · 529L JSON 4f · 214L
├─ 📁 archive
│ └─ 📁 v1.2-skills
│ ├─ 📁 critic-agent
│ │ └─ 📝 SKILL.md Markdown 83L · 3.2 KB
│ ├─ 📁 memory-agent
│ │ └─ 📝 SKILL.md Markdown 57L · 1.4 KB
│ ├─ 📁 prompt-agent
│ │ └─ 📝 SKILL.md Markdown 103L · 3.4 KB
│ ├─ 📁 render-agent
│ │ └─ 📝 SKILL.md Markdown 96L · 2.9 KB
│ └─ 📁 workflow-agent
│ └─ 📝 SKILL.md Markdown 68L · 2.0 KB
├─ 📁 resources
│ ├─ 📋 preferences.json JSON 11L · 202 B
│ ├─ 📋 prompt-templates.json JSON 50L · 2.4 KB
│ └─ 📝 SOUL.md Markdown 59L · 2.8 KB
├─ 📁 scripts
│ ├─ 🔧 setup.sh Shell 241L · 8.5 KB
│ └─ 🔧 switch-painter-model.sh Shell 32L · 1.1 KB
├─ 📁 skills
│ ├─ 📁 generate-image
│ │ └─ 📝 SKILL.md Markdown 34L · 1.2 KB
│ └─ 📁 image-review
│ └─ 📝 SKILL.md Markdown 21L · 469 B
├─ 📁 tools
│ ├─ 🐍 comfyui-client.py Python 297L · 10.7 KB
│ ├─ 🔧 paint-dispatch.sh Shell 164L · 5.5 KB
│ ├─ 🐍 prompt-checker.py Python 154L · 4.3 KB
│ ├─ 🔧 quick-generate.sh Shell 92L · 2.9 KB
│ └─ 🐍 run-tracker.py Python 129L · 3.9 KB
├─ 📁 workflows
│ ├─ 📋 sdxl_basic.json JSON 65L · 1.3 KB
│ └─ 📋 sdxl_hires.json JSON 88L · 1.7 KB
├─ 📝 README.md Markdown 172L · 5.9 KB
├─ 📝 SKILL.md Markdown 67L · 2.1 KB
└─ 📝 TROUBLESHOOTING.md Markdown 157L · 5.2 KB

Dependencies 3 items

PackageVersionSourceKnown VulnsNotes
torch * pip No 无版本锁定
torchvision * pip No 无版本锁定
torchaudio * pip No 无版本锁定

Security Positives

✓ 仅使用 Python 标准库(urllib)进行网络请求,无第三方 HTTP 依赖
✓ comfyui-client.py 实现清晰,仅与配置的 API URL 通信
✓ 未发现环境变量遍历或敏感凭证收割行为
✓ 未发现 base64/eval 混淆代码
✓ 未发现数据外泄或 C2 通信
✓ workflow 文件有白名单验证(paint-dispatch.sh)
✓ 所有文件操作限制在预期的 ~/ai-studio 和 ~/.openclaw 目录
✓ SOUL.md 有明确的禁止规则,防止 Agent 绕过工具自行写脚本