中文 EN

扫描报告

扫描新文件

可疑 — 风险评分 45/100
上次扫描:10 小时前 重新扫描
45 /100
kuaishou-genius-actual
Kuaishou Genius 预算/预测/实际页面 API 探测与分析工具
内部企业预算门户 API 探测工具,代码本身无恶意行为,但 --insecure 模式禁用 TLS 验证存在 MITM 风险,且工具设计用于提取内部业务敏感数据,意图不明。
技能名称kuaishou-genius-actual
分析耗时33.2s
引擎pi
谨慎使用
若确为企业内部合法工具则可用,但需确保:1) 确认该工具已获企业安全团队授权;2) 禁用 --insecure 选项以防中间人攻击;3) 不要在生产环境外使用真实会话凭证。

安全发现 3 项

严重性 安全发现 位置
中危
--insecure 模式禁用 TLS 证书校验 代码执行
genius_client.py 支持 --insecure 参数,通过 ssl.create_default_context() 禁用主机名校验和证书校验。在处理认证 Cookie 的场景下,禁用 TLS 验证会使通信暴露于中间人攻击风险,攻击者可在路径上截获 Cookie 和响应数据。
if insecure:
    self._ssl_ctx = ssl.create_default_context()
    self._ssl_ctx.check_hostname = False
    self._ssl_ctx.verify_mode = ssl.CERT_NONE
→ 移除 --insecure 选项或默认不使用;在 SKILL.md 中明确警告该选项的安全风险
 scripts/genius_client.py:94-97
中危
工具面向内部业务敏感 API 接口 敏感访问
SKILL.md 和脚本针对快手内部预算门户 genius.corp.kuaishou.com 的 management-yearly/actual 工作流,涉及 actual-ledger 账本数据、org tree 组织架构、annual-actual 版本数据等内部敏感业务信息。
Trigger on requests about Network 抓包, API mapping, endpoint calls, auth/session reuse, payload reconstruction
→ 确认该工具的使用已获企业内部授权,避免用于未授权的数据采集
 SKILL.md:1-156
低危
genius_api_probe.sh 无错误处理 代码执行
genius_api_probe.sh 使用 set -euo pipefail 但对 curl 命令的错误码和响应内容处理简单,若 Cookie 无效或环境受限,不会给出明确诊断。
curl -sS -i
→ 增强错误处理,对 HTTP 错误码(4xx/5xx)提供更明确提示
 scripts/genius_api_probe.sh:1-53
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 SKILL.md; genius_api_probe.sh; genius_client.py
命令执行 WRITE WRITE ✓ 一致 SKILL.md 声明使用 bash; genius_api_probe.sh 使用 curl
文件系统 READ READ ✓ 一致 genius_client.py L105: open(path, r) 读取 JSON payload 文件
2 项发现
🔗
中危 外部 URL 外部 URL
https://genius.corp.kuaishou.com
SKILL.md:24
🔗
中危 外部 URL 外部 URL
https://genius.corp.kuaishou.com/management-yearly/actual
SKILL.md:102

目录结构

6 文件 · 15.4 KB · 423 行
Python 1f · 211L Markdown 1f · 156L Shell 1f · 53L JSON 3f · 3L
├─ 📁 scripts
│ ├─ 📋 detail_2026_group.json JSON 1L · 216 B
│ ├─ 📋 detail.json JSON 1L · 216 B
│ ├─ 🔧 genius_api_probe.sh Shell 53L · 1.5 KB
│ ├─ 🐍 genius_client.py Python 211L · 8.1 KB
│ └─ 📋 products.json JSON 1L · 196 B
└─ 📝 SKILL.md Markdown 156L · 5.2 KB

安全亮点

✓ 代码逻辑清晰,无混淆、Base64 编码或隐蔽数据外传
✓ SKILL.md 声明与代码行为基本一致,无显著阴影功能
✓ 仅使用标准库(urllib/curl),无第三方依赖,无供应链风险
✓ 无文件写入、无环境变量遍历、无凭证收割行为
✓ 网络请求仅限于声明的企业域名