扫描报告
0 /100
text-to-music
AI music generation assistant powered by MakebestMusic
text-to-music 是一个功能简单透明的 AI 音乐生成技能,仅调用官方 API 生成和查询音乐,无敏感操作、凭证外泄或未声明行为。
可以安装
无需修改。可正常使用,建议用户妥善保管 API key。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | 无文件读写操作,仅通过 node 命令行调用脚本 |
| 网络访问 | WRITE | WRITE | ✓ 一致 | 仅访问 api.makebestmusic.com 两个 API 端点 |
| 命令执行 | NONE | NONE | — | 仅通过 node 执行本地 JS 脚本,无 shell 命令 |
| 环境变量 | READ | READ | ✓ 一致 | 仅读取 process.env.apiKey 和 MBM_API_BASE 用于认证 |
3 项发现
中危 外部 URL 外部 URL
https://makebestmusic.com/?pid=PIDcLjhgCXUQ SKILL.md:21 中危 外部 URL 外部 URL
https://makebestmusic.com/app/shared-music/abc123 SKILL.md:129 中危 外部 URL 外部 URL
https://api.makebestmusic.com scripts/generate.js:3 目录结构
3 文件 · 8.1 KB · 308 行 Markdown 1f · 167L
JavaScript 2f · 141L
├─
▾
scripts
│ ├─
generate.js
JavaScript
│ └─
query.js
JavaScript
└─
SKILL.md
Markdown
安全亮点
✓ 代码逻辑极简清晰,无混淆、无动态代码执行
✓ API key 仅用于向官方 API 认证,无外泄风险
✓ 网络请求仅限两个固定端点,无重定向或 IP 直连
✓ 脚本参数严格校验,缺少参数立即报错退出
✓ 无环境变量遍历、无敏感路径访问
✓ SKILL.md 与代码行为完全一致,无阴影功能