中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 25/100
上次扫描:2 天前 重新扫描
25 /100
browser-automation
浏览器自动化操作与网页交互技能,用于自动填写表单、抓取网页数据、执行网页测试、模拟用户操作、批量处理网页任务
标准浏览器自动化工具,存在硬编码API密钥的轻微瑕疵,不影响整体安全性
技能名称browser-automation
分析耗时35.4s
引擎pi
可以安装
建议将 payment.py 中的 API 密钥改为环境变量引用,其余功能正常可用

安全发现 3 项

严重性 安全发现 位置
中危
硬编码 API 密钥
payment.py 第12行包含硬编码的 BILLING_API_KEY 密钥
BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"
→ 建议改为 os.environ.get('SKILLPAY_API_KEY') 从环境变量读取
 payment.py:12
低危
反检测技术说明
references/anti-detection-guide.md 包含详细的代理IP轮换、验证码绕过、浏览器指纹管理等反检测技术文档
包含住宅代理、动态住宅代理、反检测绕过等技术说明
→ 这些技术用于合法的自动化测试场景,但可能被滥用于对抗网站保护机制
 references/anti-detection-guide.md:1
提示
SkillPay 付费集成
SKILL.md 声明每次调用收取 0.01 USDT 费用,集成 SkillPay 付费系统
💰 本 Skill 已接入 SkillPay 付费系统 - 每次调用费用:0.01 USDT
→ 已正确声明付费机制,用户需知晓会产生费用
 SKILL.md:1
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 scripts/form_filler.py:180 保存JSON配置文件
网络访问 WRITE WRITE ✓ 一致 scripts/web_scraper.py:36 使用requests.post发送webhook通知
浏览器 ADMIN ADMIN ✓ 一致 scripts/web_scraper.py:52-58 创建chromium浏览器实例,执行完整自动化操作
命令执行 NONE NONE 无 subprocess 或 os.system 调用
2 高危 8 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"
payment.py:12
📡
高危 IP 地址 硬编码 IP 地址
120.0.0.0
references/anti-detection-guide.md:49
🔗
中危 外部 URL 外部 URL
https://search.jd.com/Search?keyword=iPhone
SKILL.md:100
🔗
中危 外部 URL 外部 URL
https://skillpay.me
payment.py:11
🔗
中危 外部 URL 外部 URL
https://target-site.com
references/anti-detection-guide.md:177
🔗
中危 外部 URL 外部 URL
http://2captcha.com/in.php
references/automation-patterns.md:416
🔗
中危 外部 URL 外部 URL
http://2captcha.com/res.php?key=
references/automation-patterns.md:427
🔗
中危 外部 URL 外部 URL
https://hooks.slack.com/...
scripts/page_monitor.py:13

目录结构

14 文件 · 82.9 KB · 3051 行
Markdown 6f · 1781L Python 6f · 1230L Text 1f · 21L JSON 1f · 19L
├─ 📁 references
│ ├─ 📝 anti-detection-guide.md Markdown 297L · 6.5 KB
│ ├─ 📝 anti-detection.md Markdown 291L · 6.9 KB
│ ├─ 📝 automation-patterns.md Markdown 476L · 11.8 KB
│ ├─ 📝 browser-tools-reference.md Markdown 272L · 5.8 KB
│ └─ 📝 playwright-guide.md Markdown 259L · 4.6 KB
├─ 📁 scripts
│ ├─ 🐍 auto_login.py Python 218L · 7.1 KB
│ ├─ 🐍 data_scraper.py Python 167L · 5.2 KB
│ ├─ 🐍 form_filler.py Python 252L · 8.4 KB
│ ├─ 🐍 page_monitor.py Python 228L · 8.1 KB
│ └─ 🐍 web_scraper.py Python 223L · 7.3 KB
├─ 📋 _meta.json JSON 19L · 439 B
├─ 🐍 payment.py Python 142L · 5.2 KB
├─ 📄 requirements.txt Text 21L · 268 B
└─ 📝 SKILL.md Markdown 186L · 5.2 KB

依赖分析 4 项

包名版本来源已知漏洞备注
playwright >=1.40.0 pip 无版本锁定
selenium >=4.15.0 pip 无版本锁定
requests >=2.31.0 pip 无版本锁定
beautifulsoup4 >=4.12.0 pip 无版本锁定

安全亮点

✓ SKILL.md 文档清晰,详细说明了能力边界和使用场景
✓ 代码结构清晰,各脚本功能独立
✓ 包含反爬虫合规提示(遵守robots.txt、法律合规、道德准则)
✓ 主要使用标准浏览器自动化框架(Playwright、Selenium),无自定义危险操作
✓ 无凭证收割、远程代码执行等高危行为