postme-deploy 安全扫描报告 — 可信 | ClawSafe

5 /100

postme-deploy

Deploy local HTML/frontend files to Dele (dele.fun) and get a live URL

postme-deploy 是一个部署 HTML/前端文件到 dele.fun 平台的合法工具，声明的 read(*)/glob(*) 权限与实际需求一致，代码仅包含标准的文件读取和 HTTPS 上传功能，无恶意行为。

技能名称postme-deploy

分析耗时31.9s

引擎pi

✓

可以安装

该技能可安全使用。建议用户从 https://www.dele.fun/api-keys 获取自己的 API 密钥并设置为环境变量，而非使用示例占位符。

安全发现 1 项

严重性	安全发现	位置
低危	示例凭证占位符 SKILL.md 中 POSTME_API_KEY 示例值为 'your-secret-agent-key'，这是文档示例占位符，不是实际密钥 `POSTME_API_KEY="your-secret-agent-key"` → 此为正常文档示例，无需处理	`skill.md:30`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	skill.md:13 allowed-tools 声明与代码实现一致
网络访问	`NONE`	`READ`	✓ 一致	代码使用 requests 库向 dele.fun API 发送文件，无主动外传数据

1 高危 5 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your-secret-agent-key"

skill.md:30

🔗

中危外部 URL 外部 URL

https://www.dele.fun/api-keys

skill.md:8

🔗

中危外部 URL 外部 URL

https://www.dele.fun/api/upload

skill.md:11

🔗

中危外部 URL 外部 URL

https://www.dele.fun

skill.md:17

🔗

中危外部 URL 外部 URL

https://www.dele.fun/app/my-app-v1/

skill.md:64

1 文件 · 7.5 KB · 209 行

Markdown 1f · 209L

└─ 📝 skill.md Markdown 209L · 7.5 KB

✓ allowed-tools 声明与实际代码能力一致（read + glob）

✓ 网络请求目标为已知合法网站 dele.fun

✓ 代码逻辑清晰，无隐藏功能或多余操作

✓ 无 shell 执行、无敏感路径访问、无凭证外泄

✓ 使用标准的 requests 库，无可疑依赖

✓ 文件操作严格限制在用户指定的 target_path 范围内