bun-runtime

核心用法

bun-runtime 是一款面向 Bun 运行环境的系统操作 Skill，封装了 Bun 原生提供的文件系统、进程管理和网络请求能力。用户可通过简洁的 bash 脚本调用 Bun.file()、Bun.write()、Bun.glob() 等高性能 API 完成文件读写、目录遍历、Shell 命令执行及 HTTP 请求等操作。该 Skill 旨在为使用 Bun 作为 JavaScript 运行时的开发者提供开箱即用的系统级能力，避免重复编写底层 I/O 代码。

显著优点

性能是该 Skill 的核心卖点。Bun 本身以极速著称，其文件操作 API 相比 Node.js 传统 fs 模块有显著性能提升。脚本封装将复杂的 Bun API 调用简化为单行命令，降低了使用门槛。自动创建父目录、自动处理编码等细节设计体现了良好的用户体验考量。对于已采用 Bun 技术栈的团队，该 Skill 能够快速补齐系统交互能力的拼图。

潜在缺点与局限性

实现层面存在根本性缺陷。scripts/bun-process.sh 使用 eval 执行用户输入命令，这是安全编程中的绝对禁忌。多个脚本通过 bun -e 拼接字符串执行动态代码，未对特殊字符进行转义。文件路径和 URL 缺乏白名单验证，存在路径遍历和 SSRF 风险。错误处理机制不完善，可能泄露敏感系统信息。整体设计缺少沙箱隔离和权限最小化原则。

适合的目标群体

不适合任何生产环境用户。仅限以下场景考虑：完全隔离的本地开发测试、Docker 等容器沙箱环境、无敏感数据的临时脚本任务、安全研究人员进行漏洞分析。企业用户、处理个人隐私数据的开发者、多租户平台运营者应完全避开此 Skill。

使用风险

首要风险是完全系统沦陷。攻击者可通过命令注入执行任意系统指令，包括删除数据、安装后门、横向移动。数据泄露风险同样严重，任意文件可被读取并通过网络请求外发。代码注入允许执行任意 JavaScript，可能突破预期执行边界。依赖 Bun 特定版本，存在运行时兼容性问题。无官方维护承诺，安全补丁无法保证。