中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
project-bootstrap
Bootstrap a multi-agent software project from idea to running CI/CD
Project Bootstrap 技能是一个合法的多代理项目初始化工具,taskboard.py 实现了标准的任务看板 CLI,GitHub token 仅用于 GitHub API 认证,无恶意行为。
技能名称project-bootstrap
分析耗时31.3s
引擎pi
可以安装
技能安全可用。建议完善 SKILL.md 中的权限声明以提高透明度。

安全发现 1 项

严重性 安全发现 位置
低危
权限声明不完整 文档欺骗
SKILL.md 声称使用 CLI 工具操作,但未明确声明需要 filesystem:WRITE(JSON文件读写)和 network:READ(GitHub API访问)权限。建议完善声明以提高透明度。
全程无权限声明
→ 在 SKILL.md 顶部添加 allowed_tools 声明或权限矩阵
 SKILL.md:1
资源类型声明权限推断权限状态证据
文件系统 NONE WRITE ✓ 一致 scripts/taskboard.py:63-64 读写 JSON 文件用于任务数据持久化
网络访问 NONE READ ✓ 一致 scripts/taskboard.py:102 仅访问 api.github.com 用于 GitHub Issues 同步
环境变量 NONE READ ✓ 一致 scripts/taskboard.py:72 仅读取 GITHUB_TOKEN 用于 GitHub API 认证
命令执行 NONE NONE 无 shell 执行
1 项发现
🔗
中危 外部 URL 外部 URL
https://discord.com/api/webhooks/
references/ci-cd-templates.md:127

目录结构

4 文件 · 31.1 KB · 988 行
Markdown 3f · 497L Python 1f · 491L
├─ 📁 references
│ ├─ 📝 ci-cd-templates.md Markdown 175L · 4.3 KB
│ └─ 📝 taskboard-setup.md Markdown 141L · 3.4 KB
├─ 📁 scripts
│ └─ 🐍 taskboard.py Python 491L · 18.1 KB
└─ 📝 SKILL.md Markdown 181L · 5.2 KB

安全亮点

✓ 无凭证收割行为 - GITHUB_TOKEN 仅用于 GitHub API 认证,不外传
✓ 无远程代码执行 - 无 subprocess、eval、exec 调用
✓ 无数据外泄 - 所有网络请求均为 GitHub API 调用
✓ 无代码混淆 - 纯 Python 实现,代码清晰可读
✓ 无持久化后门 - 不修改 crontab、systemd 等系统配置
✓ GitHub token 读取方式安全 - 使用环境变量而非硬编码