中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:1 天前 重新扫描
15 /100
li-summarize
使用国内 OpenAI 兼容 API 快速总结 URLs、本地文件、YouTube 链接
Legitimate URL/file summarization CLI wrapper with proper declared capabilities and no malicious behavior. API key examples in docs are clearly placeholders.
技能名称li-summarize
分析耗时35.5s
引擎pi
可以安装
Skill is safe to use. No action required. Consider adding explicit script documentation in SKILL.md for transparency.

安全发现 2 项

严重性 安全发现 位置
低危
Install scripts not documented in SKILL.md 文档欺骗
The install.sh and setup.sh scripts exist but are not explicitly documented in SKILL.md. The metadata only mentions the npm package requirement.
metadata shows {"requires":{"bins":["summarize"]}} but scripts/ directory is undeclared
→ Add a 'Installation' section documenting the install.sh and setup.sh scripts for full transparency.
 SKILL.md:1
低危
Placeholder API key patterns in documentation flagged 凭证窃取
Pre-scan flagged example API key patterns like 'your-bce-api-key', 'your-deepseek-api-key' as suspicious. These are clearly documented placeholder examples, not actual credentials.
API_KEY="your-bce-api-key"
→ No action needed - these are documented examples. Consider using more obviously fake patterns like 'EXAMPLE-KEY-123'.
 SKILL.md:30
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md metadata + scripts/install.sh lines 17-25 create ~/.summarize config
网络访问 READ READ ✓ 一致 SKILL.md documents API calls to LLM providers for summarization
命令执行 WRITE WRITE ✓ 一致 install.sh line 14: npm install -g @steipete/summarize
环境变量 READ READ ✓ 一致 setup.sh lines 11-13 read OPENAI_BASE_URL, OPENAI_API_KEY, SUMMARIZE_MODEL
技能调用 NONE NONE No skill invocation detected
剪贴板 NONE NONE No clipboard access detected
浏览器 NONE NONE No browser access detected
数据库 NONE NONE No database access detected
4 高危 22 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your-bce-api-key"
SKILL.md:30
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your-bce-v3-api-key"
SKILL.md:204
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your-dashscope-api-key"
SKILL.md:214
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your-deepseek-api-key"
SKILL.md:223
🔗
中危 外部 URL 外部 URL
https://dashscope.aliyuncs.com/compatible-mode/v1
SKILL.md:5
🔗
中危 外部 URL 外部 URL
https://qianfan.baidubce.com/v2
SKILL.md:16
🔗
中危 外部 URL 外部 URL
https://hunyuancloud.tencent.com/api/v3
SKILL.md:54
🔗
中危 外部 URL 外部 URL
https://ark.cn-beijing.volces.com/api/v3
SKILL.md:64
🔗
中危 外部 URL 外部 URL
https://api.moonshot.cn/v1
SKILL.md:74
🔗
中危 外部 URL 外部 URL
https://api.deepseek.com/v1
SKILL.md:84
🔗
中危 外部 URL 外部 URL
https://open.bigmodel.cn/api/paas/v4
SKILL.md:94
🔗
中危 外部 URL 外部 URL
https://api.minimax.chat/v1
SKILL.md:105
🔗
中危 外部 URL 外部 URL
https://api.stepfun.com/v1
SKILL.md:115
🔗
中危 外部 URL 外部 URL
http://your-oneapi-server:3000/v1
SKILL.md:135
🔗
中危 外部 URL 外部 URL
https://news.ycombinator.com
SKILL.md:160
🔗
中危 外部 URL 外部 URL
https://youtube.com/watch?v=xxx
SKILL.md:163
🔗
中危 外部 URL 外部 URL
https://summarize.sh
SKILL.md:261
🔗
中危 外部 URL 外部 URL
https://cloud.baidu.com/product/wenxinworkshop
SKILL.md:262
🔗
中危 外部 URL 外部 URL
https://dashscope.aliyuncs.com/
SKILL.md:263
🔗
中危 外部 URL 外部 URL
https://cloud.tencent.com/product/hunyuan
SKILL.md:264
🔗
中危 外部 URL 外部 URL
https://platform.deepseek.com/
SKILL.md:265
🔗
中危 外部 URL 外部 URL
https://open.bigmodel.cn/
SKILL.md:266

目录结构

3 文件 · 11.9 KB · 443 行
Markdown 1f · 265L Shell 2f · 178L
├─ 📁 scripts
│ ├─ 🔧 install.sh Shell 117L · 3.6 KB
│ └─ 🔧 setup.sh Shell 61L · 1.6 KB
└─ 📝 SKILL.md Markdown 265L · 6.8 KB

依赖分析 1 项

包名版本来源已知漏洞备注
@steipete/summarize latest npm Version not pinned, uses latest

安全亮点

✓ No credential harvesting or exfiltration detected - API keys are only used for intended LLM API calls
✓ All capabilities (filesystem WRITE, shell, network) are declared in SKILL.md metadata
✓ No obfuscation techniques (base64, eval, etc.) found
✓ No sensitive path access (~/.ssh, ~/.aws, etc.) detected
✓ No reverse shell, C2, or data theft behavior
✓ npm package is documented and from a legitimate source (@steipete/summarize)
✓ Config files are stored in user-specified location (~/.summarize) - user has control
✓ Environment variable usage is documented and follows standard practices