bun-runtime

bun-runtime 是一款基于 Bun JavaScript 运行时的系统操作工具集，旨在利用 Bun 的高性能原生 API 简化文件系统、进程管理和网络请求操作。该技能通过封装 Bun.file()、Bun.write()、Bun.glob() 等 API，提供命令行接口实现文件读写、模式匹配、命令执行和 HTTP 请求等功能，适用于需要优化 I/O 性能的开发场景。

核心用法方面，用户可通过简单的 shell 脚本调用实现复杂操作：使用 bun-fs.sh 进行文件读写，支持自动创建父目录；使用 bun-glob.sh 执行文件模式匹配；使用 bun-process.sh 执行系统命令；使用 bun-fetch.sh 发起 HTTP 请求。所有操作均基于 Bun 运行时，理论上可获得比 Node.js 更快的执行速度和更低的内存占用。

显著优点在于其对 Bun 生态的深度集成。Bun 作为新兴的 JavaScript 运行时，以 Zig 语言编写，在文件 I/O 和网络操作方面具有显著性能优势。该技能充分利用了这些特性，提供自动编码处理、简化的 API 调用方式，以及 JSON 格式的结构化返回，便于与其他工具链集成。对于已采用 Bun 作为开发环境的团队，该技能可减少环境切换成本。

潜在缺点与局限性极为突出。该技能存在严重的安全隐患，评级仅为 D 级，不建议在生产环境使用。最严重的缺陷在于 bun-process.sh 第 13 行使用 eval "$COMMAND" 直接执行用户输入，这意味着攻击者可通过注入分号、管道符等特殊字符执行任意系统命令，如删除关键文件或植入后门。同样，bun-fs.sh 和 bun-fetch.sh 将用户输入直接拼接到 bun -e 命令中，存在命令注入和路径遍历风险，可读取 /etc/passwd 等敏感文件或向系统配置文件写入恶意代码。此外，网络请求缺乏 URL 白名单验证，可能导致 SSRF 攻击。

适合的目标群体极为有限。仅推荐在完全隔离的本地开发环境、个人学习场景或已实施严格输入过滤的受控环境中使用。绝对不适合多用户共享环境、处理敏感数据的系统、生产服务器或任何接收不可信输入的场景。即使是经验丰富的开发者，也必须在充分理解风险并采取额外防护措施（如输入白名单、路径限制、沙箱容器）的前提下谨慎使用。

使用风险包括系统完整性破坏（恶意命令执行）、敏感信息泄露（SSH 密钥、AWS 凭证等配置文件被读取）、服务可用性受损（关键系统文件被删除或修改），以及潜在的供应链攻击风险（通过文件写入功能植入持久化后门）。此外，由于缺乏权限明确声明和二次确认机制，用户可能在不知情的情况下授予过高权限，导致不可逆的安全事故。建议仅在 Docker 等沙箱环境中以非特权用户身份运行，并严格限制文件系统访问范围。