中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 20/100
上次扫描:10 小时前 重新扫描
20 /100
aliyun-ai-guardrail
Install and configure Alibaba Cloud AI guardrail hook, intercepts malicious content in LLM requests
合法的阿里云AI安全护栏工具,通过全局fetch拦截LLM请求进行内容审查,未发现恶意行为
技能名称aliyun-ai-guardrail
分析耗时75.2s
引擎pi
可以安装
确认功能与文档一致,可安全使用。注意审查阿里云凭证的存储和传输安全

安全发现 2 项

严重性 安全发现 位置
低危
文档声明不完整 文档欺骗
SKILL.md 未明确声明所需权限和 allowed-tools 配置,用户需阅读代码才能了解完整权限需求
文档声明为'Install and configure Alibaba Cloud AI guardrail'但未列出实际使用的 allowed-tools
→ 建议在 SKILL.md 中补充 allowed-tools 和所需权限声明
 SKILL.md:1
提示
收集阿里云凭证 敏感访问
技能需要用户输入阿里云 AccessKey ID 和 Secret 用于 API 调用,这是正常功能需要
Ask the user for their Alibaba Cloud AccessKey ID and AccessKey Secret
→ 确保凭证通过安全渠道传递,不硬编码或日志输出
 SKILL.md:14
资源类型声明权限推断权限状态证据
网络访问 NONE WRITE ✓ 一致 assets/aliyun-ai-guardrail/hooks/aliyun-ai-guardrail/handler.ts:119 连接到阿里云API gr…
环境变量 NONE READ ✓ 一致 handler.ts:11-12 读取 ALIBABA_CLOUD_ACCESS_KEY_ID 和 ALIBABA_CLOUD_ACCESS_KEY_SECRE…

目录结构

6 文件 · 10.7 KB · 282 行
TypeScript 1f · 170L Markdown 3f · 77L Text 1f · 20L JSON 1f · 15L
├─ 📁 assets
│ └─ 📁 aliyun-ai-guardrail
│ ├─ 📁 hooks
│ │ └─ 📁 aliyun-ai-guardrail
│ │ ├─ 📜 handler.ts TypeScript 170L · 6.2 KB
│ │ └─ 📝 HOOK.md Markdown 8L · 330 B
│ └─ 📋 package.json JSON 15L · 306 B
├─ 📄 LICENSE.txt Text 20L · 1.1 KB
├─ 📝 README.md Markdown 23L · 1.0 KB
└─ 📝 SKILL.md Markdown 46L · 1.8 KB

依赖分析 1 项

包名版本来源已知漏洞备注
@alicloud/openapi-client ^0.4.12 npm 阿里云官方SDK,来源可信

安全亮点

✓ 代码逻辑清晰,无混淆或隐藏执行路径
✓ 使用 SECURITY_MARKER 防止循环检查
✓ 实现了缓存机制避免重复 API 调用
✓ 有 1 秒超时保护防止 API 阻塞
✓ 错误处理完善,检查失败时优雅降级
✓ 使用阿里云官方 SDK @alicloud/openapi-client
✓ 无数据外泄到非声明目标
✓ 无凭证外传行为