扫描报告
5 /100
expense-reimbursement
差旅报销票据整理工具,支持高德/滴滴打车、火车票、机票、酒店票据的OCR识别、自动分类、研发经费使用单填写及打印材料包PDF生成
合法的差旅报销整理技能,代码功能与文档声明一致,无恶意行为发现。
可以安装
无特殊风险,可直接使用。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md 全篇声明文件读写,代码 unzip_all()、create_scan_print_folder() 等操作与声明一致 |
| 网络访问 | NONE | NONE | — | scripts/unzip_and_parse.py:84 的 http://invoice.xsd 为 XML 命名空间字符串,非网络请求 |
| 命令执行 | NONE | NONE | — | 代码仅用标准库 zipfile、xml.etree.ElementTree,无 subprocess、os.system 等 shell 调用 |
| 环境变量 | READ | READ | ✓ 一致 | scripts/unzip_and_parse.py:27 仅读取 REIMBURSEMENT_DIR 用于路径配置,无敏感关键字遍历 |
| 技能调用 | NONE | NONE | — | 无跨技能调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器操作 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
2 项发现
中危 外部 URL 外部 URL
http://invoice.xsd scripts/unzip_and_parse.py:84 中危 外部 URL 外部 URL
http://www.typing/xsd scripts/unzip_and_parse.py:84 目录结构
3 文件 · 35.9 KB · 1004 行 Markdown 2f · 799L
Python 1f · 205L
├─
▾
references
│ └─
workflow.md
Markdown
├─
▾
scripts
│ └─
unzip_and_parse.py
Python
└─
SKILL.md
Markdown
依赖分析 4 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
python-docx | * | pip | 否 | 无版本锁定,但为常规文档处理库,无已知漏洞 |
pypdf | * | pip | 否 | 无版本锁定,但为常规 PDF 处理库 |
reportlab | * | pip | 否 | 无版本锁定,但为常规 PDF 生成库 |
Pillow | * | pip | 否 | 无版本锁定,图像处理标准库 |
安全亮点
✓ 功能声明(SKILL.md)与实际代码(scripts/unzip_and_parse.py)完全吻合,无阴影功能
✓ 多个人工确认点(Step 5.5、7.1、7.3、7.4、8),用户控制感强
✓ 仅使用 Python 标准库(zipfile、xml.etree、os)处理核心逻辑,无危险依赖
✓ 无 shell 执行、远程脚本下载、凭证枚举等高危指标
✓ 原始文件保护机制(00_原始资料/),删除需单独授权
✓ 第三方依赖均为常规文档处理工具(python-docx、pypdf、reportlab、Pillow),无已知恶意包
✓ 路径操作仅限 ~/报销/ 目录,无越界访问敏感路径(~/.ssh、~/.aws、.env)
✓ XML解析中的 namespace URL 为无害的字符串标识符,预扫描的 medium 标记为误报