lmeterx-web-loadtest 安全扫描报告 — 可信 | ClawSafe

5 /100

lmeterx-web-loadtest

LMeterX Web Load test tool - 网站压测工具，自动分析页面API并创建负载测试任务

LMeterX Web Load Test 是合法的网站压测工具，具有完善的安全机制（路径白名单、凭证隔离），代码与文档一致，无恶意行为。

技能名称lmeterx-web-loadtest

分析耗时36.4s

引擎pi

✓

可以安装

无需限制，可安全使用。如需更高安全级别，建议将默认 token 从代码中移除，强制要求用户配置。

安全发现 3 项

严重性	安全发现	位置
低危	内置默认服务凭证代码中硬编码了默认 token 'lmeterx'，用于绑定 agent 用户。这是服务级凭证而非用户密钥，但建议移除以提高安全性。 `LMETERX_AUTH_TOKEN: str = os.getenv("LMETERX_AUTH_TOKEN") or "lmeterx"` → 建议移除默认值，要求用户必须通过环境变量配置 token	`scripts/run.py:34`
提示	依赖版本无锁定 requirements.txt 未检查，但从预扫描数据看仅依赖 httpx，这是主流安全库。 `import httpx` → 建议在项目中添加 requirements.txt 并锁定 httpx 版本	`scripts/run.py:14`
提示	SSL验证被禁用 httpx.Client(verify=False) 禁用了SSL验证，可能存在中间人攻击风险。 `with httpx.Client(verify=False) as client:` → 生产环境应启用SSL验证，禁用仅适用于本地测试	`scripts/run.py:367`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	scripts/run.py 无文件写入操作，仅解析命令行参数
网络访问	`WRITE`	`WRITE`	✓ 一致	SKILL.md声明调用外部API，代码通过httpx向lmeterx.openxlab.org.cn发送请求
命令执行	`NONE`	`NONE`	—	SKILL.md明确禁止手动构造HTTP请求，代码仅通过httpx库执行
环境变量	`READ`	`READ`	✓ 一致	scripts/run.py:34 读取 LMETERX_AUTH_TOKEN 和 LMETERX_BASE_URL
技能调用	`WRITE`	`WRITE`	✓ 一致	SKILL.md声明触发条件为用户提供URL

2 项发现

🔗

中危外部 URL 外部 URL

https://lmeterx.openxlab.org.cn

README.md:13

🔗

中危外部 URL 外部 URL

https://www.baidu.com

SKILL.md:24

3 文件 · 22.4 KB · 618 行

Python 1f · 504L Markdown 2f · 114L

├─ ▾ 📁 scripts

│ └─ 🐍 run.py Python 504L · 17.1 KB

├─ 📝 README.md Markdown 44L · 1.6 KB

└─ 📝 SKILL.md Markdown 70L · 3.7 KB

包名	版本	来源	已知漏洞	备注
`httpx`	`*`	pip	否	主流HTTP客户端库，无版本锁定

✓ 代码结构清晰，有完整的安全约束机制

✓ 路径白名单实现完善，只允许3个指定接口

✓ 凭证仅用于本地HTTP头部注入，无外传行为

✓ 参数验证完善（URL格式、并发数范围）

✓ 错误处理详细，用户体验良好