nosql-injection

该技能与其宣称目的高度一致，但其目的本身是为 AI 代理提供可操作的 NoSQL 攻击与利用能力，包含认证绕过、盲注提取、WAF 绕过及潜在 RCE。未见明显隐藏行为或凭据回传到第三方，因此不像恶意窃密器；但作为面向代理的进攻性安全技能，其整体安全风险应判为高，结论为 SUSPICIOUS。

该代码片段是明确的攻击工具/利用脚本：提供 NoSQL 注入载荷以实现认证绕过，并通过 $regex 与 $where（含 sleep 时间侧信道）自动化进行敏感字段逐字符提取；同时还包含 MongoDB 枚举与用户数据导出/指纹适配内容。若作为依赖被引入并执行，可能直接导致未授权访问与凭据/敏感数据泄露，属于高风险恶意行为。