扫描报告
5 /100
hsciq-mcp
中国商品海关编码(HS Code)查询服务,通过HSCIQ MCP API提供商品归类、税率查询、申报要素检索等功能
这是一个合法的中国海关编码(HS Code)查询客户端,仅使用标准库/Node.js内置模块,无外部依赖,代码行为与文档声明完全一致。
可以安装
可直接使用。无风险发现。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | READ | ✓ 一致 | SKILL.md声明可读写配置文件,但代码仅读取~/.openclaw/workspace/hsciq-mcp-config.json;属于声明范围内的合法使用 |
| 网络访问 | READ | READ | ✓ 一致 | 代码仅向 https://www.hsciq.com 发送POST请求获取海关数据,与声明完全一致 |
| 环境变量 | READ | READ | ✓ 一致 | 仅读取 HSCIQ_API_KEY 和 HSCIQ_BASE_URL,用于API认证 |
| 命令执行 | NONE | NONE | — | 无 subprocess、exec、spawn 等shell执行调用 |
| 剪贴板 | NONE | NONE | — | 未访问剪贴板 |
| 浏览器 | NONE | NONE | — | 无浏览器自动化调用 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
| 技能调用 | NONE | NONE | — | 无跨技能调用 |
4 项发现
中危 外部 URL 外部 URL
https://www.hsciq.com README.md:20 中危 外部 URL 外部 URL
https://www.hsciq.com/MCP/Docs README.md:53 中危 外部 URL 外部 URL
https://www.hsciq.com/mcp/tools/list SKILL.md:122 中危 外部 URL 外部 URL
https://www.hsciq.com/mcp/tools/call SKILL.md:123 目录结构
4 文件 · 20.4 KB · 658 行 Python 1f · 286L
Markdown 2f · 237L
JavaScript 1f · 135L
├─
hsciq_client.py
Python
├─
hsciq-client.js
JavaScript
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
无 | N/A | Python标准库 | 否 | Python客户端 hsciq_client.py 完全使用标准库(urllib、json、os、sys、argparse),无第三方依赖 |
无 | N/A | Node.js内置模块 | 否 | JavaScript客户端 hsciq-client.js 仅使用内置模块(fs、path),无第三方依赖 |
安全亮点
✓ Python客户端仅使用Python标准库(urllib、json、os、sys、argparse),零外部依赖,无供应链风险
✓ JavaScript客户端仅使用Node.js内置模块(fs、path),零外部依赖
✓ 文档与实际行为高度一致,无阴影功能
✓ 代码逻辑简单清晰,仅做API调用和数据展示
✓ API密钥仅用于向官方服务端认证,未外传
✓ 网络请求目标固定为 https://www.hsciq.com,无动态IP或可疑端点
✓ 配置文件读取有异常处理,行为健壮