smart-query

[Skill Scanner] Installation of third-party script detected All findings: [CRITICAL] command_injection: Installation of third-party script detected (SC006) [AITech 9.1.4] [CRITICAL] command_injection: Installation of third-party script detected (SC006) [AITech 9.1.4] 基于提供的 README/说明文档，这个技能的目的与所声明的能力（通过 SSH 隧道连接数据库、生成表结构、执行 SQL）在表面上是一致的；依赖项为常见 Python 库，安装来源正常。主要安全问题是配置敏感凭据以明文保存在本地配置文件以及缺乏文档中强制的安全控制（例如在代码层面限制只能执行 SELECT、审计/脱敏日志、或使用秘密管理）。没有证据表明文档本身包含恶意行为或指向可疑外部端点，但无法确认实际脚本实现是否安全。推荐在接入前审查脚本实现：确保只有受控的 SQL 类型被发送（或进行静态检测/白名单），避免将凭据写入或上传到不受信任的位置，使用密钥文件或秘密管理替代明文密码，并锁定依赖版本。