扫描报告
5 /100
kontour-travel-planner
Transform any AI agent into a world-class travel planner using Kontour AI's 9-dimension progressive planning model with structured conversation flow.
A legitimate travel planning skill with no malicious behavior detected. All scripts run entirely offline with no network calls, credential access, or shell execution beyond what is declared in SKILL.md.
可以安装
No action needed. The skill is safe to use.
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | Broad character allowlist in input validation | scripts/plan.sh:22 |
| 低危 | gen-airports.py is a one-time data generator, not runtime | scripts/gen-airports.py:1 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | plan.sh:54 reads destinations.json; export-gmaps.sh:53 reads itinerary.json |
| 命令执行 | WRITE | WRITE | ✓ 一致 | plan.sh, export-gmaps.sh invoke python3 for processing; KML write is opt-in via … |
| 网络访问 | NONE | NONE | — | No curl, wget, urllib, requests, or httpx calls found in any script |
| 环境变量 | NONE | NONE | — | SKILL.md declares env:[]; scripts use only sys.argv arguments |
| 技能调用 | NONE | NONE | — | No cross-skill invocation detected |
| 剪贴板 | NONE | NONE | — | No clipboard access |
| 浏览器 | NONE | NONE | — | Generates Google Maps URLs but makes no actual browser/HTTP requests |
| 数据库 | NONE | NONE | — | No database access |
35 项发现
中危 外部 URL 外部 URL
https://kontour.ai README.md:3 中危 外部 URL 外部 URL
https://skills.sh README.md:11 中危 外部 URL 外部 URL
https://clawhub.com README.md:11 中危 外部 URL 外部 URL
https://www.google.com/maps/dir/35.7148 SKILL.md:221 中危 外部 URL 外部 URL
https://kontour.ai/trip/SHARE_TOKEN SKILL.md:257 中危 外部 URL 外部 URL
https://kontour.ai?dest= SKILL.md:291 中危 外部 URL 外部 URL
https://kontour.ai/integrations SKILL.md:334 中危 外部 URL 外部 URL
https://api.amadeus.com/v2/shopping/flight-offers references/booking-integrations.json:5 中危 外部 URL 外部 URL
https://api.sabre.com/v2/shop/flights references/booking-integrations.json:6 中危 外部 URL 外部 URL
https://api.travelport.com/air/search references/booking-integrations.json:7 中危 外部 URL 外部 URL
https://www.google.com/travel/flights references/booking-integrations.json:8 中危 外部 URL 外部 URL
https://api.tequila.kiwi.com/v2/search references/booking-integrations.json:9 中危 外部 URL 外部 URL
https://distribution-xml.booking.com/json/bookings references/booking-integrations.json:12 中危 外部 URL 外部 URL
https://api.ean.com/v3/properties references/booking-integrations.json:13 中危 外部 URL 外部 URL
https://api.hotels.com/v1/search references/booking-integrations.json:14 中危 外部 URL 外部 URL
https://api.airbnb.com/v2/search references/booking-integrations.json:15 中危 外部 URL 外部 URL
https://api.hostelworld.com/v2/properties references/booking-integrations.json:16 中危 外部 URL 外部 URL
https://api.getyourguide.com/1/tours references/booking-integrations.json:19 中危 外部 URL 外部 URL
https://api.viator.com/partner/products/search references/booking-integrations.json:20 中危 外部 URL 外部 URL
https://api.klook.com/v1/activities references/booking-integrations.json:21 中危 外部 URL 外部 URL
https://api.airbnb.com/v2/experiences references/booking-integrations.json:22 中危 外部 URL 外部 URL
https://api.rentalcars.com/v1/search references/booking-integrations.json:25 中危 外部 URL 外部 URL
https://api.enterprise.com/v1/vehicles references/booking-integrations.json:26 中危 外部 URL 外部 URL
https://api.hertz.com/v1/availability references/booking-integrations.json:27 中危 外部 URL 外部 URL
https://api.sixt.com/v1/offers references/booking-integrations.json:28 中危 外部 URL 外部 URL
https://api.raileurope.com/v2/search references/booking-integrations.json:31 中危 外部 URL 外部 URL
https://japanrailpass.net/api/v1 references/booking-integrations.json:32 中危 外部 URL 外部 URL
https://api.trainline.com/v1/search references/booking-integrations.json:33 中危 外部 URL 外部 URL
https://api.amtrak.com/v1/trips references/booking-integrations.json:34 中危 外部 URL 外部 URL
https://api.rome2rio.com/v1/search references/booking-integrations.json:35 中危 外部 URL 外部 URL
https://kontour.ai?ref=embed&dest= references/embed-snippets.json:7 中危 外部 URL 外部 URL
https://www.google.com/maps/search/ scripts/export-gmaps.sh:82 中危 外部 URL 外部 URL
https://www.google.com/maps/dir/ scripts/export-gmaps.sh:126 中危 外部 URL 外部 URL
https://www.google.com/maps/embed?pb=!1m14!1m12!1m3!1d50000!2d scripts/export-gmaps.sh:152 中危 外部 URL 外部 URL
http://www.opengis.net/kml/2.2 scripts/export-gmaps.sh:184 目录结构
13 文件 · 238.8 KB · 5559 行 JSON 7f · 4335L
Shell 3f · 437L
Python 1f · 403L
Markdown 2f · 384L
├─
▾
references
│ ├─
activities.json
JSON
│ ├─
airlines.json
JSON
│ ├─
airports.json
JSON
│ ├─
booking-integrations.json
JSON
│ ├─
budget-benchmarks.json
JSON
│ ├─
destinations.json
JSON
│ └─
embed-snippets.json
JSON
├─
▾
scripts
│ ├─
export-gmaps.sh
Shell
│ ├─
gen-airports.py
Python
│ ├─
plan.sh
Shell
│ └─
socket-review-check.sh
Shell
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
bash | system | system | 否 | Declared in SKILL.md frontmatter |
python3 | system | system | 否 | Declared in SKILL.md frontmatter; standard library only, no pip packages |
安全亮点
✓ No network requests made at runtime (verified by socket-review-check.sh)
✓ No credential access or environment variable enumeration
✓ No remote script execution (curl|bash, wget|sh, or eval patterns)
✓ No obfuscation or base64-encoded payloads
✓ No sensitive path access (~/.ssh, ~/.aws, .env)
✓ Input validation with file size limits (1MB) and character allowlists
✓ Output sanitization with name length limits (120 chars) and control char stripping
✓ All capabilities declared in SKILL.md frontmatter match inferred behavior
✓ MIT-0 license with env:[] confirming no credential requirements
✓ Self-contained static reference data — no external API dependencies
✓ Proactive self-review script (socket-review-check.sh) catches regressions