中文 EN

Scan Report

Scan New Files

Suspicious — Risk Score 45/100
Last scan:9 hr ago Rescan
45 /100
kuaishou-genius-actual
Kuaishou Genius 预算/预测/实际页面 API 探测与分析工具
内部企业预算门户 API 探测工具,代码本身无恶意行为,但 --insecure 模式禁用 TLS 验证存在 MITM 风险,且工具设计用于提取内部业务敏感数据,意图不明。
Skill Namekuaishou-genius-actual
Duration33.2s
Enginepi
Use with caution
若确为企业内部合法工具则可用,但需确保:1) 确认该工具已获企业安全团队授权;2) 禁用 --insecure 选项以防中间人攻击;3) 不要在生产环境外使用真实会话凭证。

Findings 3 items

Severity Finding Location
Medium
--insecure 模式禁用 TLS 证书校验 RCE
genius_client.py 支持 --insecure 参数,通过 ssl.create_default_context() 禁用主机名校验和证书校验。在处理认证 Cookie 的场景下,禁用 TLS 验证会使通信暴露于中间人攻击风险,攻击者可在路径上截获 Cookie 和响应数据。
if insecure:
    self._ssl_ctx = ssl.create_default_context()
    self._ssl_ctx.check_hostname = False
    self._ssl_ctx.verify_mode = ssl.CERT_NONE
→ 移除 --insecure 选项或默认不使用;在 SKILL.md 中明确警告该选项的安全风险
 scripts/genius_client.py:94-97
Medium
工具面向内部业务敏感 API 接口 Sensitive Access
SKILL.md 和脚本针对快手内部预算门户 genius.corp.kuaishou.com 的 management-yearly/actual 工作流,涉及 actual-ledger 账本数据、org tree 组织架构、annual-actual 版本数据等内部敏感业务信息。
Trigger on requests about Network 抓包, API mapping, endpoint calls, auth/session reuse, payload reconstruction
→ 确认该工具的使用已获企业内部授权,避免用于未授权的数据采集
 SKILL.md:1-156
Low
genius_api_probe.sh 无错误处理 RCE
genius_api_probe.sh 使用 set -euo pipefail 但对 curl 命令的错误码和响应内容处理简单,若 Cookie 无效或环境受限,不会给出明确诊断。
curl -sS -i
→ 增强错误处理,对 HTTP 错误码(4xx/5xx)提供更明确提示
 scripts/genius_api_probe.sh:1-53
ResourceDeclaredInferredStatusEvidence
Network READ READ ✓ Aligned SKILL.md; genius_api_probe.sh; genius_client.py
Shell WRITE WRITE ✓ Aligned SKILL.md 声明使用 bash; genius_api_probe.sh 使用 curl
Filesystem READ READ ✓ Aligned genius_client.py L105: open(path, r) 读取 JSON payload 文件
2 findings
🔗
Medium External URL 外部 URL
https://genius.corp.kuaishou.com
SKILL.md:24
🔗
Medium External URL 外部 URL
https://genius.corp.kuaishou.com/management-yearly/actual
SKILL.md:102

File Tree

6 files · 15.4 KB · 423 lines
Python 1f · 211L Markdown 1f · 156L Shell 1f · 53L JSON 3f · 3L
├─ 📁 scripts
│ ├─ 📋 detail_2026_group.json JSON 1L · 216 B
│ ├─ 📋 detail.json JSON 1L · 216 B
│ ├─ 🔧 genius_api_probe.sh Shell 53L · 1.5 KB
│ ├─ 🐍 genius_client.py Python 211L · 8.1 KB
│ └─ 📋 products.json JSON 1L · 196 B
└─ 📝 SKILL.md Markdown 156L · 5.2 KB

Security Positives

✓ 代码逻辑清晰,无混淆、Base64 编码或隐蔽数据外传
✓ SKILL.md 声明与代码行为基本一致,无显著阴影功能
✓ 仅使用标准库(urllib/curl),无第三方依赖,无供应链风险
✓ 无文件写入、无环境变量遍历、无凭证收割行为
✓ 网络请求仅限于声明的企业域名