CLS 安全认证报告
summarize

Skill Security Certification Report — 六维深度检测

CLS-Certify v2.0 · Full Scan

NO. CLS-2026-0317-B4E2

2026 年 3 月 17 日 15:42:08 CST

A Grade

78 / 100

标准安全级别。代码结构规范，无高危后门或数据外泄行为。发现少量中低风险项，建议按建议优化。

技能名称 summarize

版本 v1.0.0

来源路径 ~/.claude/skills/summarize

来源可信度 T2 · 社区来源

维护者 anthropic-community

许可证 MIT

扫描耗时 12.8s

代码行数 342 lines · 5 files

Skill 分类 T-LITE · 轻量代码

扫描策略 auto

◉

结果概览

共发现 4 项

无危险函数调用无敏感信息泄露外部网络请求 Skill 分类: T-LITE 发现 1 个 high 级别风险

发现 1 个 high 级别和 3 个 medium 级别安全风险项
代码中使用 fetch() 进行外部 API 调用，数据传输已加密
未检测到提示词注入、权限升级或 Agent 上下文注入行为
依赖项均为已知安全包，无 CVE 漏洞和 typosquatting 风险

⬡

六维检测结果

静态代码分析85✓ 通过

动态行为分析90✓ 通过

依赖审计88✓ 通过

网络流量分析65⚠ 警告

隐私合规82✓ 通过

威胁情报80✓ 通过

当前 Skill 平均水平

⊕

外部 API 调用

共 0 个端点

🔗

无外部 API 调用

⚠

敏感风险点

共 2 项发现

RISK-001 外部网络请求未验证响应 HIGH

📁 index.js:42 🏷 network_request

使用 fetch() 调用外部 URL 但未对响应内容进行校验，可能导致注入攻击。

建议对 fetch 响应添加 Content-Type 校验和内容长度限制，避免恶意响应注入。

RISK-002 未使用 HTTPS 的 URL 引用 MEDIUM

📁 config.js:15 🏷 insecure_transport

配置文件中存在 http:// 协议的 URL，传输未加密，存在中间人攻击风险。

将所有 HTTP URL 升级为 HTTPS，确保数据传输安全。

☑

隐私合规检查

✓数据使用目的明确声明

✓无过度数据收集行为

✓环境变量访问范围合理

!未明确声明数据保留策略

✓无 MCP 工具滥用风险

✓无 Agent 上下文注入风险

↑

安全改进建议

1

验证外部 API 响应内容

对所有 fetch 响应添加 Content-Type 校验、内容长度限制和 JSON Schema 验证，防止恶意响应注入。
2

升级 HTTP 为 HTTPS

将配置中的 http:// URL 统一升级为 https://，确保所有数据传输加密。
3

补充数据保留策略声明

在 SKILL.md 中明确声明数据的保留时间和清理方式，满足 GDPR/CCPA 合规要求。