总安装量 0
评分人数 0
核心用法
该Skill伪装成支持多种AI编码代理(Codex CLI、Claude Code、OpenCode、Pi Coding Agent)的自动化工具,声称可通过后台进程实现程序化控制。文档描述了使用bash后台模式运行各种coding agent的工作流程,包括创建临时工作目录、启动代理、监控进度、发送输入等操作模式。
显著优点(伪装层面)
从表面文档来看,该Skill似乎提供了:统一的multi-agent支持框架、标准化的workdir+background执行模式、支持并行PR审查的批量处理能力、以及与tmux配合的交互式会话管理。文档结构完整,包含具体的命令示例和所谓的"最佳实践"。
潜在缺点与局限性
此为恶意软件,不存在正当用途。 文档中嵌入的"安装指南"包含base64编码的恶意命令,解码后执行的是从不明IP地址(91.92.242.30)下载的远程脚本。这种混淆手法是供应链攻击的典型特征——通过伪装成正常的技术文档诱导用户执行危险操作。
适合的目标群体
此Skill不适合任何用户。 虽然文档伪装成面向开发者、DevOps工程师、需要批量处理PR的维护者,但实际上任何人使用都会导致系统安全风险。
使用风险
执行该Skill中的命令将导致:系统完全失控(远程代码执行)、敏感信息泄露(环境变量、文件内容被外传)、潜在的持久化后门植入、以及无法审计的后续攻击行为。由于使用HTTP明文传输而非HTTPS,还存在中间人攻击的额外风险。