Baidu Web Search - 百度网页搜索安全扫描报告 — 可信 | ClawSafe

5 /100

Baidu Web Search - 百度网页搜索

在对话中发起百度搜索，返回摘要与链接列表

百度搜索技能，代码实现简洁干净，仅向百度千帆API发送HTTP请求获取搜索结果，无任何越权或可疑行为。

技能名称Baidu Web Search - 百度网页搜索

分析耗时32.9s

引擎pi

✓

可以安装

可安全使用。建议补充 requests 依赖版本锁定以提升依赖安全性。

安全发现 3 项

严重性	安全发现	位置
提示	SKILL.md 中的 API_KEY 示例是占位符 SKILL.md:31 的 API_KEY="your_appbuilder_api_key_here" 是文档示例占位符，不是真实密钥，无需担心 `export BAIDU_API_KEY="your_appbuilder_api_key_here"` → 无需处理，这是标准文档示例写法	`SKILL.md:31`
低危	requests 依赖无版本锁定 requirements.txt 不存在，代码 import requests 但无版本约束 `import requests` → 建议添加 requirements.txt 锁定 requests>=2.28.0	`baidu.py:10`
提示	脚本路径文档不一致 SKILL.md 声明脚本路径为 skills/baidu/baidu.py，但实际文件位于根目录 baidu.py `脚本文件：skills/baidu/baidu.py` → 同步更新 SKILL.md 脚本路径声明	`SKILL.md vs baidu.py`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	baidu.py:79 requests.post(SEARCH_URL) - 仅向百度API发送请求
环境变量	`READ`	`READ`	✓ 一致	baidu.py:140 os.getenv('BAIDU_API_KEY') - 仅读取声明的BAIDU_API_KEY
文件系统	`NONE`	`NONE`	—	无任何文件读写操作
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system 等 shell 执行

1 高危 7 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appbuilder_api_key_here"

SKILL.md:31

🔗

中危外部 URL 外部 URL

https://cloud.baidu.com/doc/qianfan-api/s/Wmbq4z7e5

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://qianfan.baidubce.com/v2/ai_search/web_search

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:11

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com

SKILL.md:25

🔗

中危外部 URL 外部 URL

https://www.jisuepc.com

SKILL.md:26

🔗

中危外部 URL 外部 URL

https://www.weather.com.cn/html/weather/101031600.shtml

SKILL.md:129

目录结构

2 文件 · 13.3 KB · 358 行

Markdown 1f · 185L Python 1f · 173L

├─ 🐍 baidu.py Python 173L · 5.0 KB

└─ 📝 SKILL.md Markdown 185L · 8.3 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	import	否	无版本锁定，建议添加 requirements.txt

安全亮点

✓ 代码实现简洁，功能单一，无多余代码

✓ 无 shell 执行、无文件写入、无敏感路径访问

✓ API key 仅从环境变量读取，不外传

✓ 网络请求仅指向官方百度 API 域名 (qianfan.baidubce.com)

✓ 无 base64/eval/隐蔽执行等高危模式

✓ JSON 响应解析有错误处理