扫描报告
5 /100
environment-doc-author
Verify real local environment facts before an agent uses machine-specific commands, runtimes, compilers, services, or startup scripts, then create or refresh environment baseline JSON and related environment policy, AGENTS, or skill documents from those verified facts.
环境探测与文档生成工具,代码功能与文档描述完全一致,无越权操作,无阴影功能,无恶意行为。
可以安装
可直接使用,无需任何安全限制。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 主机名写入 baseline JSON 敏感访问 | scripts/detect_environment.js:line ~390:390 |
| 低危 | subprocess/runCommand 可执行任意命令 权限提升 | scripts/detect_environment.py:line ~115:115 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | WRITE | ✓ 一致 | SKILL.md: scripts/detect_environment.js + scripts/render_environment_docs.js 输出 … |
| 命令执行 | READ | READ | ✓ 一致 | SKILL.md: 仅执行工具版本探测命令(git --version、java -version 等);JS: scripts/detect_environm… |
| 网络访问 | NONE | NONE | — | 全文 grep 无 curl/wget/fetch/requests 导入,网络请求数为零 |
| 环境变量 | READ | READ | ✓ 一致 | JS: scripts/detect_environment.js:line ~300 collectEnvironmentVariables 读取 proce… |
| 凭证收割 | NONE | NONE | — | 无任何 ~/.ssh、~/.aws、.env、API key 等敏感路径或变量的读取/遍历/外传行为 |
目录结构
7 文件 · 139.7 KB · 3945 行 JavaScript 2f · 1832L
Python 2f · 1643L
Markdown 3f · 470L
├─
▾
references
│ ├─
document-contracts.md
Markdown
│ └─
probe-file.md
Markdown
├─
▾
scripts
│ ├─
detect_environment.js
JavaScript
│ ├─
detect_environment.py
Python
│ ├─
render_environment_docs.js
JavaScript
│ └─
render_environment_docs.py
Python
└─
SKILL.md
Markdown
安全亮点
✓ 文档(SKILL.md)与实际代码行为完全吻合,无阴影功能
✓ 无凭证收割、API 密钥读取、敏感文件访问行为
✓ 无网络请求,无数据外传
✓ 无 base64/eval/字符串拼接等代码混淆
✓ 无反向 shell、远程代码执行
✓ 无第三方依赖,仅使用 Node.js 和 Python 标准库
✓ 包含完善的安全护栏:禁止未经授权安装/修改软件(硬性规则)
✓ subprocess 命令执行有 8 秒超时保护
✓ 代码结构清晰,注释完整,易于审计