中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
mcp-storyboard
多场景分镜文生图制作助手,使用 BizyAir API 生成故事绘本分镜场景图
这是一个合法的 BizyAir API 图片生成技能,代码结构清晰,文档与实现一致,无隐蔽行为或敏感操作。
技能名称mcp-storyboard
分析耗时36.1s
引擎pi
可以安装
可安全使用。注意 requests 库无版本锁定,建议生产环境指定版本。

安全发现 1 项

严重性 安全发现 位置
低危
Python requests 库无版本锁定 供应链
scripts/storyboard.py 使用 requests 库但未在依赖文件中指定版本,可能引入供应链风险
import requests
→ 在 requirements.txt 中锁定版本: requests>=2.31.0
 scripts/storyboard.py:10
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 SKILL.md:9 - requires curl for HTTP requests; code calls api.bizyair.cn
文件系统 NONE NONE No file system operations in code
命令执行 NONE NONE Scripts only use curl/requests for API calls, no local command execution
1 高危 6 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here"
README.md:18
🔗
中危 外部 URL 外部 URL
https://api.bizyair.cn/w/v1/mcp/242
README.md:105
🔗
中危 外部 URL 外部 URL
https://xxx.com/img1.png?image_process=format
SKILL.md:120
🔗
中危 外部 URL 外部 URL
https://xxx.com/img1.png
SKILL.md:120
🔗
中危 外部 URL 外部 URL
https://xxx.com/img2.png
SKILL.md:121
🔗
中危 外部 URL 外部 URL
https://api.bizyair.cn/w/v1/webapp/task/openapi
scripts/bizyair_api.sh:18

目录结构

8 文件 · 42.2 KB · 1429 行
JavaScript 1f · 582L Markdown 2f · 299L Python 1f · 274L Shell 1f · 227L JSON 3f · 47L
├─ 📁 .claude
│ └─ 📋 settings.local.json JSON 7L · 216 B
├─ 📁 scripts
│ ├─ 🔧 bizyair_api.sh Shell 227L · 6.8 KB
│ └─ 🐍 storyboard.py Python 274L · 8.3 KB
├─ 📋 mcp.json JSON 10L · 188 B
├─ 📋 package.json JSON 30L · 590 B
├─ 📝 README.md Markdown 131L · 3.7 KB
├─ 📝 SKILL.md Markdown 168L · 5.9 KB
└─ 📜 storyboard-mcp.js JavaScript 582L · 16.7 KB

依赖分析 2 项

包名版本来源已知漏洞备注
@modelcontextprotocol/sdk ^1.0.4 npm 版本范围锁定
requests * pip 无版本锁定,建议指定版本

安全亮点

✓ 文档与代码完全一致,无阴影功能
✓ API Key 仅用于调用声明的 BizyAir API,无外泄
✓ 代码结构清晰,错误处理完善
✓ 无 Base64 编码、eval 调用或混淆代码
✓ 无访问敏感路径(~/.ssh、.env 等)
✓ 无凭证收割或数据外泄行为