Цель: Скрипт призван помочь людям далёким от программирования и анализа кода бегло оценить степень угроз устанавливаемого скрипта с сайта GreasyFork.
При переходе на вкладку "КОД" для любого скрипта на сайте GreasyFork происходит запускается автоматический "статистический анализ" кода.Имеется функция
Этот скрипт проводит статический анализ кода (без его запуска), проверяя исходный текст на наличие опасных паттернов, функций и обращений к чувствительным данным.
Вот основные группы параметров, которые он проверяет локально:
- Критические угрозы (Выполнение кода и майнинг)
eval(): Прямое выполнение произвольного кода из строки. Самый опасный паттерн.
new Function(): Динамическое создание функций (аналог eval).
Майнеры: Поиск сигнатур криптомайнеров (coinhive, cryptonight, monero, minero.js).
- Скрытие кода и обфускация
atob(): Декодирование строк из Base64 (часто используется для скрытия вредоносной нагрузки).
Шестнадцатеричные строки: Паттерны вида _0xabc123 или String.fromCharCode, характерные для обфусцированного (запутанного) кода.
- Доступ к устройству и приватности
Геолокация: navigator.geolocation (доступ к GPS).
Медиа-устройства: navigator.mediaDevices (доступ к веб-камере и микрофону).
Буфер обмена: navigator.clipboard (чтение/запись буфера).
- Работа с данными пользователя
Cookies: document.cookie (кража сессий или трекинг).
Хранилища браузера: localStorage, sessionStorage (сохранение данных на компьютере пользователя).
Хранилище менеджера скриптов: GM_getValue, GM_setValue (доступ к постоянным данным расширения).
- Сетевая активность
Скрытые запросы: GM_xmlhttpRequest (позволяет делать запросы в обход CORS политик браузера).
Обычные запросы: fetch(), XMLHttpRequest (загрузка данных с внешних серверов).
Перезапись страницы: document.write() (может использоваться для подмены содержимого сайта).
- Анализ доменов
Скрипт также извлекает все URL-адреса из кода, выделяет уникальные доменные имена и показывает их в отчёте, чтобы вы видели, куда скрипт может отправлять данные.
Итог: Если скрипт находит совпадения, он помечает их уровнем опасности (Low, Medium, High, Critical) и показывает конкретные строки кода, где была найдена угроза.
По аналогии со скриптом "GreasyFork Code Safety Scaner" этот скрипт при нажатии на кнопку Проверить в ИИ" и выборе нужного вам движка ИИ (Требуется первичный одноразовый ввод API-Key для используемого движка ИИ)
- Groq - проверено
- DeepSeek - проверено
- Grok - нет возможности проверить, но функционал сохранен (можете изменить под себя)
- Gemini - проверено
- Qwen - нет возможности проверить, но функционал сохранен (можете изменить под себя)
- ChatGPT - нет возможности проверить, но функционал сохранен (можете изменить под себя)
отправляет найденные статистические замечания по проверенному локально коду в ИИ и получает ответ по конкретно этим замечаниям на предмет их безопасности или ложно-положительного срабатывания.
Можно использовать как дополнительный способ проверки кода.
Примечание 1: буду признателен, если подскажите как изменить строки кода для других ИИ или включить дополнительные проверки, чтобы скрипт получился более качественным.
Примечание 2: Я не программист, поэтому не критикуйте, а предлагайте, если есть что сказать. Скрипт использую для себя, но если кому-то пригодится, то буду рад.
