Если вы нашли потенциальную уязвимость в этом проекте — пожалуйста не открывайте публичный issue. Вместо этого:

1. Telegram: напишите в личку @shutko_ads с пометкой «Security»
2. Email: igorshutkowork@gmail.com — тема «[Security] horoshop-claude-skill»
3. Опишите:
   • Что за уязвимость
   • Как воспроизвести
   • Возможный impact
   • Предложение по фиксу (опционально)

Постараюсь ответить в течение 48 часов.

• Утечка credentials или токенов
• Возможность выполнить произвольный код через входные данные
• Обход авторизации Horoshop API
• Возможность залить вредоносные данные через apply_fixes.py
• Уязвимости в зависимостях (requests, beautifulsoup4, lxml)

• Скрипт прогоняет аудит и находит проблемы — это поведение по дизайну
• Скилл просит API-доступ роли Owner — это намеренно (нужно для записи через catalog/import)
• --dry-run режим может быть отключен пользователем — это намеренно

Скилл:

• ❌ Не отправляет ваши API-токены/пароли никуда кроме API того магазина который вы аудитите
• ❌ Не сохраняет credentials в файлы — только в env vars текущей сессии
• ❌ Не телеметрит ничего никуда — нет аналитики, трекинга, отчётов автору
• ✅ Все артефакты (catalog.json, findings.json, REPORT.md) пишутся локально в текущую папку

• Создавайте отдельного API-юзера в Horoshop для аудита
• После работы деактивируйте этого юзера в админке
• Не коммитьте catalog.json / findings.json в публичные репо — там могут быть товары/категории клиента
• Используйте --dry-run перед каждым деструктивным фиксом