扫描报告
15 /100
improvement-discriminator
多信号评分引擎:启发式规则+评估量规+LLM裁判+多审阅者盲审面板
improvement-discriminator是一个合法的代码评分工具,存在轻微的文档-行为差异(未声明网络调用权限),但无恶意行为证据。
可以安装
建议在SKILL.md的triggers部分补充声明network:READ权限(用于调用LLM API),硬编码凭证仅用于测试代码不影响生产安全。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 未声明网络调用权限 文档欺骗 | interfaces/llm_judge.py:131 |
| 低危 | 测试代码包含demo凭证 敏感访问 | tests/test_p2a_integration.py:79 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | READ | ✓ 一致 | scripts/score.py:420 读取输入JSON |
| 网络访问 | NONE | READ | ✗ 越权 | interfaces/llm_judge.py:131-153 调用外部API |
| 命令执行 | NONE | NONE | — | 无shell执行代码 |
2 高危 2 项发现
高危 API 密钥 疑似硬编码凭证
password="DEMO_ONLY_NOT_FOR_PRODUCTION" interfaces/critic_engine.py:685 高危 API 密钥 疑似硬编码凭证
password="demo_password_123" tests/test_p2a_integration.py:79 目录结构
14 文件 · 208.1 KB · 5974 行 Python 12f · 5816L
Markdown 2f · 158L
├─
▾
interfaces
│ ├─
__init__.py
Python
│ ├─
assertions.py
Python
│ ├─
critic_engine.py
Python
│ ├─
external_regression.py
Python
│ ├─
human_review.py
Python
│ └─
llm_judge.py
Python
├─
▾
scripts
│ ├─
rubric_evidence.py
Python
│ └─
score.py
Python
├─
▾
tests
│ ├─
test_llm_judge.py
Python
│ ├─
test_p1_integration.py
Python
│ ├─
test_p2a_integration.py
Python
│ └─
test_score.py
Python
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
anthropic | 未指定 | pip | 否 | 可选依赖,用于Claude API调用 |
openai | 未指定 | pip | 否 | 可选依赖,用于OpenAI API调用 |
安全亮点
✓ 无shell命令执行、无subprocess调用
✓ 无凭证收割行为(不遍历os.environ匹配敏感关键字)
✓ 无外部数据传输或C2通信
✓ 无代码混淆或base64解码执行
✓ LLM API调用是标准的SDK用法,使用环境变量存储密钥
✓ mock模式提供零API成本的测试路径
✓ 代码结构清晰,评分逻辑可解释