Scan Report
5 /100
expense-reimbursement
差旅报销票据整理工具,支持高德/滴滴打车、火车票、机票、酒店票据的OCR识别、自动分类、研发经费使用单填写及打印材料包PDF生成
合法的差旅报销整理技能,代码功能与文档声明一致,无恶意行为发现。
Safe to install
无特殊风险,可直接使用。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md 全篇声明文件读写,代码 unzip_all()、create_scan_print_folder() 等操作与声明一致 |
| Network | NONE | NONE | — | scripts/unzip_and_parse.py:84 的 http://invoice.xsd 为 XML 命名空间字符串,非网络请求 |
| Shell | NONE | NONE | — | 代码仅用标准库 zipfile、xml.etree.ElementTree,无 subprocess、os.system 等 shell 调用 |
| Environment | READ | READ | ✓ Aligned | scripts/unzip_and_parse.py:27 仅读取 REIMBURSEMENT_DIR 用于路径配置,无敏感关键字遍历 |
| Skill Invoke | NONE | NONE | — | 无跨技能调用 |
| Clipboard | NONE | NONE | — | 无剪贴板操作 |
| Browser | NONE | NONE | — | 无浏览器操作 |
| Database | NONE | NONE | — | 无数据库操作 |
2 findings
Medium External URL 外部 URL
http://invoice.xsd scripts/unzip_and_parse.py:84 Medium External URL 外部 URL
http://www.typing/xsd scripts/unzip_and_parse.py:84 File Tree
3 files · 35.9 KB · 1004 lines Markdown 2f · 799L
Python 1f · 205L
├─
▾
references
│ └─
workflow.md
Markdown
├─
▾
scripts
│ └─
unzip_and_parse.py
Python
└─
SKILL.md
Markdown
Dependencies 4 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
python-docx | * | pip | No | 无版本锁定,但为常规文档处理库,无已知漏洞 |
pypdf | * | pip | No | 无版本锁定,但为常规 PDF 处理库 |
reportlab | * | pip | No | 无版本锁定,但为常规 PDF 生成库 |
Pillow | * | pip | No | 无版本锁定,图像处理标准库 |
Security Positives
✓ 功能声明(SKILL.md)与实际代码(scripts/unzip_and_parse.py)完全吻合,无阴影功能
✓ 多个人工确认点(Step 5.5、7.1、7.3、7.4、8),用户控制感强
✓ 仅使用 Python 标准库(zipfile、xml.etree、os)处理核心逻辑,无危险依赖
✓ 无 shell 执行、远程脚本下载、凭证枚举等高危指标
✓ 原始文件保护机制(00_原始资料/),删除需单独授权
✓ 第三方依赖均为常规文档处理工具(python-docx、pypdf、reportlab、Pillow),无已知恶意包
✓ 路径操作仅限 ~/报销/ 目录,无越界访问敏感路径(~/.ssh、~/.aws、.env)
✓ XML解析中的 namespace URL 为无害的字符串标识符,预扫描的 medium 标记为误报