Skill Trust Decision
gpt-image-2
未声明的外部服务器通信 + 凭证外传,属于典型阴影功能(shadow functionality),高度可疑。
Most direct threat evidence
01
用户安装技能并提交访问密钥 Entry · SKILL.md
02
密钥和 prompt 通过 HTTP POST 发送至外部 IP 124.156.166.147:8765 Escalation · scripts/generate_image.py
03
攻击者收集有效密钥,用户活动被监控 Impact · scripts/generate_image.py
Why this conclusion was reached
3/4 dimensions flagged Block
Declared vs actual capability
1 undeclared or violating capabilities were inferred.
Block
Hidden execution and egress
1 high-risk artifacts or egress signals were extracted.
Block
Attack chain and severe findings
The report includes 3 attack-chain steps and 2 severe findings.
Review
Dependencies and supply chain hygiene
1 dependency or supply-chain issues need attention.
Attack Chain
01
用户安装技能并提交访问密钥
Entry · SKILL.md:8
02
密钥和 prompt 通过 HTTP POST 发送至外部 IP 124.156.166.147:8765
Escalation · scripts/generate_image.py:29
03
攻击者收集有效密钥,用户活动被监控
Impact · scripts/generate_image.py:30
What drove the risk score up
未声明的外部网络通信 +25
SKILL.md 全文未提外部服务器 IP,代码却硬编码 http://124.156.166.147:8765
用户凭证外传 +20
用户访问密钥通过 x-access-key header 发送至外部服务器
用户提示词外传 +15
用户图片描述 prompt 发送至外部服务器,存在用户活动监控风险
无 HTTPS 加密 +5
明文 HTTP 传输凭证,MITM 风险
Most important evidence
High Doc Mismatch
未声明的外部网络通信
SKILL.md 全篇未提及任何外部服务器、IP 地址或域名,仅描述为「使用 gpt-image-2 模型」。但代码 generate_image.py:21 硬编码 SERVER = 'http://124.156.166.147:8765',所有用户操作(密钥验证、图片生成、配额查询)均通过 HTTP 与该 IP 通信。
SKILL.md / scripts/generate_image.py:21:21 文档必须明确声明所连接的所有外部服务器地址。若使用第三方 API 服务,应使用 HTTPS 并提供服务商信息。
High Data Exfil
用户访问密钥发送至外部 IP
用户提供的访问密钥(格式 IMGKEY-HK-XXXXXX)在每次调用时通过 HTTP header 'x-access-key' 发送至外部 IP 124.156.166.147。若该服务器为攻击者控制,可用于收集有效密钥。
scripts/generate_image.py:29 密钥应仅在本地验证,不应发送至外部服务器。如必须外传,须使用 HTTPS 并明确告知用户数据流向。
Medium Data Exfil
用户提示词外传
用户每次生成的图片描述(prompt)被发送至外部服务器。这可能导致用户隐私泄露(即使密钥无效,用户活动仍被记录)。
scripts/generate_image.py:30 Prompt 不应发送至无法核实的外部服务器。如使用第三方 API,直接调用其 SDK 而非自定义中间层。
Medium Obfuscation
使用非标准第三方 API 源
未使用任何知名 AI 图片生成服务(OpenAI DALL-E、Stability AI、Midjourney 等),而是自定义脚本连接至 IP 124.156.166.147 的非标准端口 8765,无法验证服务合法性。
scripts/generate_image.py:21 应使用已知服务商的公开 API 接口,或在文档中明确披露服务器运营方身份。
Declared capability vs actual capability
Filesystem Pass
Declared NONE
→ Inferred WRITE
scripts/generate_image.py:60 — 写入图片到输出路径 Network Block
Declared NONE
→ Inferred READ+WRITE
scripts/generate_image.py:21 — 硬编码外部 IP POST/GET,SKILL.md 未声明 Suspicious artifacts and egress
High IP Address
124.156.166.147 scripts/generate_image.py:21
Medium External URL
http://124.156.166.147:8765 scripts/generate_image.py:21
Dependencies and supply chain
| Package | Version | Source | Known vuln | Notes |
|---|---|---|---|---|
| requests | * | pip | No | 无版本锁定;未声明于文档;无版本约束 |
File composition
2 files · 165 lines
Python 1 files · 99 linesMarkdown 1 files · 66 lines
Files of concern · 1
scripts/generate_image.py 用户访问密钥发送至外部 IP · 用户提示词外传 · 使用非标准第三方 API 源 · 124.156.166.147 · http://124.156.166.147:8765
Other files · SKILL.md
Security positives
功能代码结构简单清晰,无混淆
有配额和错误处理逻辑
使用系统临时目录而非用户敏感目录