Scan Report
5 /100
VIN (Vehicle Identification Number) Query
用 17 位 VIN 查品牌车型年款等,并可按车型查机油、变速箱等扩展信息
VIN 车辆查询技能,代码逻辑清晰,仅调用声明的极速数据 API 获取车辆信息,无敏感操作
Safe to install
可直接使用
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | NONE | — | vin.py:1-211 代码未使用任何文件读写 |
| Network | READ | READ | ✓ Aligned | vin.py:32-34 仅访问 jisuapi.com |
| Shell | NONE | NONE | — | vin.py 无 subprocess/shell 调用 |
| Environment | READ | READ | ✓ Aligned | vin.py:148 仅读取 JISU_API_KEY |
| Skill Invoke | NONE | NONE | — | 无动态调用其他技能 |
| Clipboard | NONE | NONE | — | 未使用 |
| Browser | NONE | NONE | — | 未使用 |
| Database | NONE | NONE | — | 未使用 |
1 High 9 findings
High API Key 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:25 Medium External URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 Medium External URL 外部 URL
https://www.jisuapi.com/api/vin/ SKILL.md:18 Medium External URL 外部 URL
http://pic1.jisuapi.cn/car/static/images/logo/300/34889.jpg SKILL.md:88 Medium External URL 外部 URL
http://pic1.jisuapi.cn/car/upload/gearbox/I-HS18.png SKILL.md:187 Medium External URL 外部 URL
http://pic1.jisuapi.cn/car/upload/gearbox/TR-8L451.png SKILL.md:190 Medium External URL 外部 URL
https://api.jisuapi.com/vin/query vin.py:14 Medium External URL 外部 URL
https://api.jisuapi.com/vin/oil vin.py:15 Medium External URL 外部 URL
https://api.jisuapi.com/vin/gearbox vin.py:16 File Tree
2 files · 12.8 KB · 449 lines Markdown 1f · 238L
Python 1f · 211L
├─
SKILL.md
Markdown
└─
vin.py
Python
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
requests | * | pip | No | 无版本锁定但为常规用途 |
Security Positives
✓ 代码结构清晰,三个函数 query_vin/query_vin_oil/query_vin_gearbox 职责单一
✓ 声明与实际能力完全一致,无阴影功能
✓ 仅依赖标准库和 requests,无恶意依赖
✓ API 请求有超时保护(timeout=10)
✓ 错误处理完整,区分 api_error/http_error/invalid_json
✓ 凭证仅从环境变量读取,不硬编码
✓ 不访问敏感路径(~/.ssh, ~/.aws, .env 等)