Skills 安全评估报告

安全健康度评分

Skill 名称 512890-etf-analysis

内容 Hash cc89c7a46f25055d...

总体评估结论可疑风险

发现问题总数

需确认点

检出恶意行为

平台已标记

检出可疑行为

平台已标记

引擎覆盖类别

安全检测面

总体风险摘要

该 skill 提供红利低波ETF历年净值数据的获取与分析功能。经多引擎联合分析，发现存在通过 subprocess 调用 curl 执行外部命令获取远程数据的行为，且禁用了 SSL 证书验证，存在中间人攻击的理论风险。建议人工复核相关代码逻辑后再决定是否启用。

威胁捕获模型视图

命令执行风险

可疑

网络请求与数据外传

可疑

供应链风险

安全

文件操作与敏感路径访问

安全

Prompt 注入风险

安全

远程脚本下载执行

安全

可疑编码/混淆

安全

其他安全风险

安全

威胁行为图谱解析

行为可疑 AI 引擎命令执行风险

          
            检测详情日志
          
              ►
              在 scripts/fetch_and_analyze.py 第 37 行发现 subprocess.run() 调用，自动执行 curl 命令向远程 API 发送请求获取数据

行为可疑 AI 引擎网络请求与数据外传

          
            检测详情日志
          
              ►
              在 scripts/fetch_and_analyze.py 第 32 行发现 curl -k 禁用 SSL 证书验证，向 https://api.fund.eastmoney.com 发送请求时跳过证书校验，存在中间人攻击风险

行为安全 AI 引擎静态引擎供应链风险

          
            检测详情日志
          
              ✓
              未发现可疑的第三方依赖引入或供应链污染行为。

行为安全 AI 引擎静态引擎文件操作与敏感路径访问

          
            检测详情日志
          
              ✓
              未检测到对敏感系统路径或凭证文件的异常访问。

行为安全 AI 引擎静态引擎 Prompt 注入风险

          
            检测详情日志
          
              ✓
              未发现试图篡改 AI Agent 行为的 Prompt 注入指令。

行为安全 AI 引擎静态引擎远程脚本下载执行

          
            检测详情日志
          
              ✓
              未检测到从远程服务器下载并执行脚本的行为。

行为安全 AI 引擎静态引擎可疑编码/混淆

          
            检测详情日志
          
              ✓
              未发现可疑的代码编码混淆或加密逃逸技术。

行为安全 AI 引擎静态引擎其他安全风险

          
            检测详情日志
          
              ✓
              未检测到其他类别的异常安全风险行为。