扫描报告
5 /100
VIN (Vehicle Identification Number) Query
用 17 位 VIN 查品牌车型年款等,并可按车型查机油、变速箱等扩展信息
VIN 车辆查询技能,代码逻辑清晰,仅调用声明的极速数据 API 获取车辆信息,无敏感操作
可以安装
可直接使用
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | vin.py:1-211 代码未使用任何文件读写 |
| 网络访问 | READ | READ | ✓ 一致 | vin.py:32-34 仅访问 jisuapi.com |
| 命令执行 | NONE | NONE | — | vin.py 无 subprocess/shell 调用 |
| 环境变量 | READ | READ | ✓ 一致 | vin.py:148 仅读取 JISU_API_KEY |
| 技能调用 | NONE | NONE | — | 无动态调用其他技能 |
| 剪贴板 | NONE | NONE | — | 未使用 |
| 浏览器 | NONE | NONE | — | 未使用 |
| 数据库 | NONE | NONE | — | 未使用 |
1 高危 9 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:25 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 中危 外部 URL 外部 URL
https://www.jisuapi.com/api/vin/ SKILL.md:18 中危 外部 URL 外部 URL
http://pic1.jisuapi.cn/car/static/images/logo/300/34889.jpg SKILL.md:88 中危 外部 URL 外部 URL
http://pic1.jisuapi.cn/car/upload/gearbox/I-HS18.png SKILL.md:187 中危 外部 URL 外部 URL
http://pic1.jisuapi.cn/car/upload/gearbox/TR-8L451.png SKILL.md:190 中危 外部 URL 外部 URL
https://api.jisuapi.com/vin/query vin.py:14 中危 外部 URL 外部 URL
https://api.jisuapi.com/vin/oil vin.py:15 中危 外部 URL 外部 URL
https://api.jisuapi.com/vin/gearbox vin.py:16 目录结构
2 文件 · 12.8 KB · 449 行 Markdown 1f · 238L
Python 1f · 211L
├─
SKILL.md
Markdown
└─
vin.py
Python
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定但为常规用途 |
安全亮点
✓ 代码结构清晰,三个函数 query_vin/query_vin_oil/query_vin_gearbox 职责单一
✓ 声明与实际能力完全一致,无阴影功能
✓ 仅依赖标准库和 requests,无恶意依赖
✓ API 请求有超时保护(timeout=10)
✓ 错误处理完整,区分 api_error/http_error/invalid_json
✓ 凭证仅从环境变量读取,不硬编码
✓ 不访问敏感路径(~/.ssh, ~/.aws, .env 等)