安全决策报告

kuaishou-genius-actual

Name: kuaishou-genius-actual 可信度判断报告
Item: kuaishou-genius-actual
Rating: 55
Author: ClawSafe

内部企业预算门户 API 探测工具，代码本身无恶意行为，但 --insecure 模式禁用 TLS 验证存在 MITM 风险，且工具设计用于提取内部业务敏感数据，意图不明。

安装决策优先来源: 手动上传扫描时间: 2026/4/5

文件 6

IOC 2

越权项 0

发现 3

为什么得出这个结论

0/4 个维度触发

通过

声明与实际能力

声明资源与推断能力基本一致。

复核

隐藏执行与外联

提取到 2 个一般风险产物，需要结合上下文判断。

通过

攻击链与高危发现

没有形成明确的恶意路径。

复核

依赖与供应链卫生

没有完整依赖信息，供应链判断需要保留弹性。

风险分是怎么被拉高的

TLS验证可被禁用 +20

genius_client.py L94-97: --insecure 选项禁用 SSL 证书校验，存在 MITM 风险

工具针对内部业务敏感 API +15

探测 /budget-portal/api/actual-ledger/detail 等敏感业务数据接口

真实 Cookie 直接传入脚本 +10

用户需传入真实 accessproxy_session cookie，无隔离或脱敏机制

最关键的证据

中危代码执行

--insecure 模式禁用 TLS 证书校验

genius_client.py 支持 --insecure 参数，通过 ssl.create_default_context() 禁用主机名校验和证书校验。在处理认证 Cookie 的场景下，禁用 TLS 验证会使通信暴露于中间人攻击风险，攻击者可在路径上截获 Cookie 和响应数据。

scripts/genius_client.py:94-97

移除 --insecure 选项或默认不使用；在 SKILL.md 中明确警告该选项的安全风险

中危敏感访问

工具面向内部业务敏感 API 接口

SKILL.md 和脚本针对快手内部预算门户 genius.corp.kuaishou.com 的 management-yearly/actual 工作流，涉及 actual-ledger 账本数据、org tree 组织架构、annual-actual 版本数据等内部敏感业务信息。

SKILL.md:1-156

确认该工具的使用已获企业内部授权，避免用于未授权的数据采集

低危代码执行

genius_api_probe.sh 无错误处理

genius_api_probe.sh 使用 set -euo pipefail 但对 curl 命令的错误码和响应内容处理简单，若 Cookie 无效或环境受限，不会给出明确诊断。

scripts/genius_api_probe.sh:1-53

增强错误处理，对 HTTP 错误码（4xx/5xx）提供更明确提示

声明能力 vs 实际能力

网络访问 通过

声明 READ

→

推断 READ

SKILL.md; genius_api_probe.sh; genius_client.py

命令执行 通过

声明 WRITE

→

推断 WRITE

SKILL.md 声明使用 bash; genius_api_probe.sh 使用 curl

文件系统 通过

声明 READ

→

推断 READ

genius_client.py L105: open(path, r) 读取 JSON payload 文件

可疑产物与外联

中危外部 URL

https://genius.corp.kuaishou.com

SKILL.md:24

中危外部 URL

https://genius.corp.kuaishou.com/management-yearly/actual

SKILL.md:102

依赖与供应链

没有结构化依赖告警。

文件构成

6 个文件 · 423 行

Python 1 个文件 · 211 行Markdown 1 个文件 · 156 行Shell 1 个文件 · 53 行JSON 3 个文件 · 3 行

需关注文件 · 3

scripts/genius_client.py Python · 211 行

--insecure 模式禁用 TLS 证书校验

SKILL.md Markdown · 156 行

工具面向内部业务敏感 API 接口 · https://genius.corp.kuaishou.com · https://genius.corp.kuaishou.com/management-yearly/actual

scripts/genius_api_probe.sh Shell · 53 行

genius_api_probe.sh 无错误处理

其他文件 · detail.json · detail_2026_group.json · products.json

安全亮点

代码逻辑清晰，无混淆、Base64 编码或隐蔽数据外传

SKILL.md 声明与代码行为基本一致，无显著阴影功能

仅使用标准库（urllib/curl），无第三方依赖，无供应链风险

无文件写入、无环境变量遍历、无凭证收割行为

网络请求仅限于声明的企业域名