中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 25/100
Last scan:11 hr ago Rescan
25 /100
over-computer
Review and act on pending execution tasks in the over.computer trading. Connects to a managed environment for executing trading decisions on Polymarket, Hyperliquid, and security scenarios.
纯文档型技能,仅声明对 over.computer API 的交易执行能力,凭证声明合理但使用了未映射到 allowed-tools 的 shell 访问,无代码可验证性。
Skill Nameover-computer
Duration43.8s
Enginepi
Safe to install
建议补充实际执行脚本以便审计;若使用方对该外部服务无信任基础,应避免在生产环境部署。当前仅凭 SKILL.md 无法确认实际行为。

Findings 4 items

Severity Finding Location
Low
shell 权限使用未声明 Doc Mismatch
SKILL.md 使用 curl bash 命令执行网络请求(shell:WRITE),但 allowed-tools 字段完全缺失,权限声明不完整。
curl -s --request GET --url https://api.over.computer/v1/markets
→ 在 allowed-tools 中补充 Bash/Write 工具声明,或将 curl 包装为 Read 工具
 SKILL.md:59
Low
敏感凭证依赖外部服务 Sensitive Access
要求 OVER_API_KEY 环境变量(标记为 sensitive)用于外部 API 认证。如果外部服务 over.computer 被攻陷或为恶意方,凭证可用于未授权操作。
credentials: - name: OVER_API_KEY required: true sensitive: true
→ 确认 over.computer 为可信服务提供商;考虑使用凭证作用域限制
 SKILL.md:13
Low
交易决策数据外传 Sensitive Access
市场状态、交易决策和风险评估通过 POST 请求发送到外部 API,数据可能被用于用户未完全了解的目的。
curl --request POST --url https://api.over.computer/v1/orders --data {...}
→ 确认 over.computer 隐私政策,确保交易数据不被用于竞争或数据贩售
 SKILL.md:92
Info
无实际代码验证 Doc Mismatch
该技能包仅包含 SKILL.md 文档,无 scripts/ 代码文件,无法通过代码审计确认实际行为与文档一致。
预扫描:totalFiles: 1, hasScripts: false
→ 要求开发者提供可执行的脚本文件以进行行为审计
 SKILL.md:1
ResourceDeclaredInferredStatusEvidence
Shell NONE WRITE ✗ Violation SKILL.md:59-93 使用 curl/bash 命令执行网络请求但 allowed-tools 未声明
Network READ WRITE ✓ Aligned SKILL.md:59-93 GET/POST 到 api.over.computer endpoints
Environment READ READ ✓ Aligned SKILL.md:45 读取 $OVER_API_KEY
Filesystem NONE NONE 无文件系统操作声明
Database NONE NONE 无数据库操作
Clipboard NONE NONE 无剪贴板操作
Browser NONE NONE 无浏览器操作
Skill Invoke NONE NONE 无嵌套技能调用
5 findings
🔗
Medium External URL 外部 URL
https://over.computer
SKILL.md:8
🔗
Medium External URL 外部 URL
https://over.computer/connect
SKILL.md:48
🔗
Medium External URL 外部 URL
https://api.over.computer/v1/markets
SKILL.md:59
🔗
Medium External URL 外部 URL
https://api.over.computer/v1/markets/
SKILL.md:71
🔗
Medium External URL 外部 URL
https://api.over.computer/v1/orders
SKILL.md:92

File Tree

1 files · 4.2 KB · 139 lines
Markdown 1f · 139L
└─ 📝 SKILL.md Markdown 139L · 4.2 KB

Security Positives

✓ 文档结构清晰,API 端点明确
✓ 敏感凭证声明完整,标记为 required 和 sensitive
✓ 错误处理说明详细(401/404/409/429)
✓ 操作规则明确(单订单、不修订、按 schema 执行)
✓ operator 回退机制合理,失败时主动停止
✓ 无 base64 编码、eval 调用或远程脚本下载等高危特征
✓ 无文件写入、网络扫描或本地凭证收割行为