hap-v3-api
Fail
Audited by Snyk on Feb 24, 2026
Risk Level: HIGH
Full Analysis
HIGH W007: Insecure credential handling detected in skill instructions.
- Insecure credential handling detected (high risk: 1.00). The skill instructs the AI to automatically locate and read local MCP configuration files, extract HAP-Appkey and HAP-Sign, and explicitly embed/log them into request headers or console output, which requires the LLM to handle and potentially output secret values verbatim.
HIGH W008: Secret detected in skill content (API keys, tokens, passwords).
- Secret detected (high risk: 1.00). 我只标记直接出现且看起来像可用凭据的高熵字面值;忽略文档占位符、简单示例密码和仅作示例的环境变量名或 UUID。
发现并标记的原因:
- 在示例 MCP 配置中 URL 包含 HAP-Appkey=6802bfa5da37d75f 与 HAP-Sign=MWZmZWU1YmMy...==。这两个值不是占位符(不是 YOUR_API_KEY、sk-xxxx 等),HAP-Appkey 为随机十六进制串,HAP-Sign 为较长的 Base64 字符串(以 == 结尾),具有高熵并且按文档会被用作鉴权参数 —— 因此看起来像真实、可用的凭据,应当视为敏感泄露。
忽略的潜在匹配(理由):
- 'your-app-key' / 'your-sign-key':显式占位符,按规则忽略。
- 各种 UUID(如 74c7b607-864d-4cc4-b401-28acba2636e9、945e6503-3823-4e91-9d84-a53f8bdd6fc5 等)及示例 ID(user-account-id-123、customer-row-id 等):这些是资源标识符或示例值,非用于鉴权的高熵秘密,且按定义不应标记。
- 代码示例中的简单/示例字符串(例如 '成交客户'、'客户名称' 等)以及注释中的示例密码或短字符串:低熵或显然为文档示例,按规则忽略。
结论:存在硬编码、高熵且用于鉴权的示例凭据(MCP URL 中的 HAP-Appkey 与 HAP-Sign),应被视为真实敏感信息。
Audit Metadata