关键漏洞信息 漏洞来源 Commit: 1e35e57 Commit Message: - 修复 API 访问问题,限制默认只监听 localhost,并在公开暴露时给予警告 (#8) - 修复:默认只绑定到 localhost - 增加有关这些问题的警告 漏洞描述 问题: API 访问默认不限制到 localhost,可能在公开暴露时导致安全问题。 修复措施: - 绑定到 localhost: 默认将 API 服务器绑定到 或 ,而非 。 - 警告: 增加警告信息,提示用户在公开暴露时注意安全风险。 修改文件及内容 docs/api-server.md: 更新 API 文档以反映新的绑定地址。 skill_scanner/api/api_cli.py: 更新 CLI 命令的默认参数。 skill_scanner/api/api_server.py: 修改 API 服务器的绑定地址和函数逻辑。 skill_scanner/core/static_analysis/context_extractor.py: 修复与 localhost 相关的静态分析问题。 tests/test_api_server_config.py: 更新测试用例以适应新的默认绑定设置。 漏洞影响及修复 安全风险: 如果 API 服务器默认绑定在 ,可能导致未授权访问和安全威胁。 修复效果: 通过限制 API 服务器只监听 localhost( 或 ),减少了公开暴露的风险,提高了安全性。