Scan Report
5 /100
mcp-storyboard
多场景分镜文生图制作助手,使用 BizyAir API 生成故事绘本分镜场景图
这是一个合法的 BizyAir API 图片生成技能,代码结构清晰,文档与实现一致,无隐蔽行为或敏感操作。
Safe to install
可安全使用。注意 requests 库无版本锁定,建议生产环境指定版本。
Findings 1 items
| Severity | Finding | Location |
|---|---|---|
| Low | Python requests 库无版本锁定 Supply Chain | scripts/storyboard.py:10 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | READ | READ | ✓ Aligned | SKILL.md:9 - requires curl for HTTP requests; code calls api.bizyair.cn |
| Filesystem | NONE | NONE | — | No file system operations in code |
| Shell | NONE | NONE | — | Scripts only use curl/requests for API calls, no local command execution |
1 High 6 findings
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here" README.md:18 Medium External URL 外部 URL
https://api.bizyair.cn/w/v1/mcp/242 README.md:105 Medium External URL 外部 URL
https://xxx.com/img1.png?image_process=format SKILL.md:120 Medium External URL 外部 URL
https://xxx.com/img1.png SKILL.md:120 Medium External URL 外部 URL
https://xxx.com/img2.png SKILL.md:121 Medium External URL 外部 URL
https://api.bizyair.cn/w/v1/webapp/task/openapi scripts/bizyair_api.sh:18 File Tree
8 files · 42.2 KB · 1429 lines JavaScript 1f · 582L
Markdown 2f · 299L
Python 1f · 274L
Shell 1f · 227L
JSON 3f · 47L
├─
▾
.claude
│ └─
settings.local.json
JSON
├─
▾
scripts
│ ├─
bizyair_api.sh
Shell
│ └─
storyboard.py
Python
├─
mcp.json
JSON
├─
package.json
JSON
├─
README.md
Markdown
├─
SKILL.md
Markdown
└─
storyboard-mcp.js
JavaScript
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
@modelcontextprotocol/sdk | ^1.0.4 | npm | No | 版本范围锁定 |
requests | * | pip | No | 无版本锁定,建议指定版本 |
Security Positives
✓ 文档与代码完全一致,无阴影功能
✓ API Key 仅用于调用声明的 BizyAir API,无外泄
✓ 代码结构清晰,错误处理完善
✓ 无 Base64 编码、eval 调用或混淆代码
✓ 无访问敏感路径(~/.ssh、.env 等)
✓ 无凭证收割或数据外泄行为