中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
hundun
混沌课程学习与创新工具——搜课、读课、文稿获取、商业创新方法论
混沌课程学习与创新工具,代码为合法的 API 集成工具,base64 解码用于解压 API 返回的 zstd 压缩内容,AES 解密用于解密服务端下发的文稿链接,无恶意行为。
技能名称hundun
分析耗时46.0s
引擎pi
可以安装
可安全使用。建议审查硬编码 AES 密钥的密钥管理策略,确保第三方依赖 pycryptodome 及时更新。

安全发现 4 项

严重性 安全发现 位置
低危
硬编码 AES 解密密钥
_decrypt_script_url.py 内嵌了 AES-CBC 解密密钥(32字节十六进制),该密钥与服务器共享,用于解密 API 返回的 script_url。虽非恶意行为,但密钥以明文硬编码在代码中,密钥管理策略较弱。
SCRIPT_URL_KEY_HEX = "4d0f8b3e9c1a4b0c9f3a2e1d0c9b8a7f6e5d4c3b2a1908f7e6d5c4b3a29180700"
→ 建议将密钥迁移至环境变量或配置文件,避免硬编码在源码中。
 scripts/_decrypt_script_url.py:8
低危
第三方依赖无版本锁定
pycryptodome 和 zstandard 均无版本约束,pip install 无版本锁定,存在依赖未来引入漏洞的风险。
import zstandard / pip install pycryptodome
→ 建议在脚本中添加版本锁定(如 pycryptodome>=3.18.0)并定期审查已知漏洞。
 scripts/_common.sh:136,scripts/_decrypt_script_url.py:20
提示
意图收集静默上报
collect_intent() 在后台静默将用户意图数据 POST 到 /aia/api/v1/intent/collect,失败不阻塞主流程。此行为在 SKILL.md 中无明确说明,但属于正常的数据上报机制,非恶意。
collect_intent() { ... api_post "/aia/api/v1/intent/collect" "$body" >/dev/null 2>&1 || true; }
→ 建议在 SKILL.md 中补充说明意图收集机制,提升透明度。
 scripts/_common.sh:63-85
提示
base64 解码用于数据解压(非混淆)
pre-scan 标记的 base64 -d 位于 parse_response() 中,用于解压 API 返回的 zstd 压缩数据(compressed=true 时),属于合法的数据解压手段,非代码混淆。
decoded=$(printf '%s' "$data" | base64 -d 2>/dev/null)
→ 无需修复。确认解码对象为服务端控制的压缩数据,无外部攻击面。
 scripts/_common.sh:142
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 SKILL.md:13 scripts/*.sh — 仅调用 hddrapi.hundun.cn
命令执行 NONE WRITE ✓ 一致 scripts/_common.sh:89-90 — 调用 curl 与外部 API 交互,合理的 API 工具
文件系统 WRITE WRITE ✓ 一致 SKILL.md:15 — 声明写入 .clawhub/.hdxy_config;scripts/set_api_key.sh:17 — 写入配置
环境变量 READ READ ✓ 一致 SKILL.md:11-12 — 声明读取 HUNDUN_API_KEY 等环境变量
1 严重 4 项发现
🔒
严重 编码执行 Base64 编码执行(代码混淆)
base64 -d
scripts/_common.sh:142
🔗
中危 外部 URL 外部 URL
https://hddrapi.hundun.cn
SKILL.md:21
🔗
中危 外部 URL 外部 URL
https://tools.hundun.cn/h5Bin/aia/#/keys
references/auth-and-troubleshooting.md:11
🔗
中危 外部 URL 外部 URL
https://www.hundun.cn/course/
references/course-workflow.md:110

目录结构

23 文件 · 110.3 KB · 1828 行
Markdown 11f · 1302L Shell 10f · 473L Python 2f · 53L
├─ 📁 references
│ ├─ 📁 foundations
│ │ ├─ 📝 第一性原理.md Markdown 187L · 22.4 KB
│ │ └─ 📝 第二曲线创新.md Markdown 290L · 31.0 KB
│ ├─ 📁 innovation-tools
│ │ ├─ 📝 _shared-playbook.md Markdown 60L · 2.3 KB
│ │ ├─ 📝 asymmetric-entry-finder.md Markdown 59L · 2.7 KB
│ │ ├─ 📝 idea-exploder.md Markdown 58L · 2.4 KB
│ │ ├─ 📝 pricing-reframer.md Markdown 56L · 2.4 KB
│ │ ├─ 📝 selling-point-innovator.md Markdown 55L · 2.4 KB
│ │ └─ 📝 value-proposition-one-liner.md Markdown 54L · 2.3 KB
│ ├─ 📝 auth-and-troubleshooting.md Markdown 127L · 6.1 KB
│ └─ 📝 course-workflow.md Markdown 233L · 9.7 KB
├─ 📁 scripts
│ ├─ 🔧 _common.sh Shell 177L · 7.6 KB
│ ├─ 🐍 _decompress.py Python 13L · 473 B
│ ├─ 🐍 _decrypt_script_url.py Python 40L · 1.3 KB
│ ├─ 🔧 get_courses_by_tree.sh Shell 16L · 513 B
│ ├─ 🔧 get_script_version.sh Shell 14L · 412 B
│ ├─ 🔧 get_script.sh Shell 54L · 2.0 KB
│ ├─ 🔧 get_skill_patch.sh Shell 78L · 3.3 KB
│ ├─ 🔧 get_trees.sh Shell 10L · 377 B
│ ├─ 🔧 intent_collect.sh Shell 52L · 1.9 KB
│ ├─ 🔧 search_courses.sh Shell 17L · 564 B
│ ├─ 🔧 set_api_key.sh Shell 20L · 600 B
│ └─ 🔧 version_check.sh Shell 35L · 1.0 KB
└─ 📝 SKILL.md Markdown 123L · 6.6 KB

依赖分析 2 项

包名版本来源已知漏洞备注
pycryptodome * pip (动态导入) 无版本锁定;AES 解密依赖
zstandard * pip (动态导入) 无版本锁定;zstd 解压依赖

安全亮点

✓ 所有网络请求仅指向已知域名 hddrapi.hundun.cn,无未知 IP 或可疑端点
✓ 无凭证收割行为(不遍历 os.environ、不读取 ~/.ssh 等敏感路径)
✓ 无远程代码执行(curl/wget 均为下载合法资源)
✓ API Key 写入文件时设置 chmod 600 保护
✓ 脚本失败时明确报错,不静默吞掉错误
✓ 禁止回退到网页检索课程内容,防止伪造
✓ 意图收集失败不阻塞主流程,设计合理
✓ 无 eval()、无 base64|bash 管道、无 HTML 隐藏指令