postme-deploy Security Report — Trusted | ClawSafe

5 /100

postme-deploy

Deploy local HTML/frontend files to Dele (dele.fun) and get a live URL

postme-deploy 是一个部署 HTML/前端文件到 dele.fun 平台的合法工具，声明的 read(*)/glob(*) 权限与实际需求一致，代码仅包含标准的文件读取和 HTTPS 上传功能，无恶意行为。

Skill Namepostme-deploy

Duration31.9s

Enginepi

✓

Safe to install

该技能可安全使用。建议用户从 https://www.dele.fun/api-keys 获取自己的 API 密钥并设置为环境变量，而非使用示例占位符。

Findings 1 items

Severity	Finding	Location
Low	示例凭证占位符 SKILL.md 中 POSTME_API_KEY 示例值为 'your-secret-agent-key'，这是文档示例占位符，不是实际密钥 `POSTME_API_KEY="your-secret-agent-key"` → 此为正常文档示例，无需处理	`skill.md:30`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	skill.md:13 allowed-tools 声明与代码实现一致
Network	`NONE`	`READ`	✓ Aligned	代码使用 requests 库向 dele.fun API 发送文件，无主动外传数据

1 High 5 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your-secret-agent-key"

skill.md:30

🔗

Medium External URL 外部 URL

https://www.dele.fun/api-keys

skill.md:8

🔗

Medium External URL 外部 URL

https://www.dele.fun/api/upload

skill.md:11

🔗

Medium External URL 外部 URL

https://www.dele.fun

skill.md:17

🔗

Medium External URL 外部 URL

https://www.dele.fun/app/my-app-v1/

skill.md:64

File Tree

1 files · 7.5 KB · 209 lines

Markdown 1f · 209L

└─ 📝 skill.md Markdown 209L · 7.5 KB

Security Positives

✓ allowed-tools 声明与实际代码能力一致（read + glob）

✓ 网络请求目标为已知合法网站 dele.fun

✓ 代码逻辑清晰，无隐藏功能或多余操作

✓ 无 shell 执行、无敏感路径访问、无凭证外泄

✓ 使用标准的 requests 库，无可疑依赖

✓ 文件操作严格限制在用户指定的 target_path 范围内

Scan Report

Findings 1 items

File Tree

Security Positives