Weather Forecast - 全国天气预报 Security Report — Trusted | ClawSafe

5 /100

Weather Forecast - 全国天气预报

查询实时天气、7天预报、24小时逐时、空气质量与生活指数

纯气象查询技能，仅访问声明的 JisuAPI 接口，无越权行为

Skill NameWeather Forecast - 全国天气预报

Duration20.8s

Enginepi

✓

Safe to install

可直接使用

Findings 1 items

Severity	Finding	Location
Low	依赖无版本锁定 requirements.txt 不存在，requests 库未指定版本，可能引入依赖漏洞 `import requests` → 建议添加 requirements.txt 锁定 requests>=2.28.0	`weather.py:6`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	weather.py:14-15 仅访问 jisuapi.com
Environment	`READ`	`READ`	✓ Aligned	weather.py:100 仅读取 JISU_API_KEY
Filesystem	`NONE`	`NONE`	—	weather.py 无文件读写操作
Shell	`NONE`	`NONE`	—	weather.py 无 subprocess/eval 调用

2 High 6 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:28

📡

High IP Address 硬编码 IP 地址

8.8.8.8

SKILL.md:60

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/api/weather/

SKILL.md:21

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/weather/query

weather.py:14

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/weather/city

weather.py:15

File Tree

2 files · 11.5 KB · 384 lines

Markdown 1f · 222L Python 1f · 162L

├─ 📝 SKILL.md Markdown 222L · 7.2 KB

└─ 🐍 weather.py Python 162L · 4.3 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议锁定

Security Positives

✓ 代码逻辑清晰，仅实现声明的天气查询功能

✓ 网络访问仅限声明的 jisuapi.com 两个端点

✓ 无 shell 执行、文件写入、凭证遍历等高危操作

✓ SKILL.md 与 weather.py 行为完全一致，无阴影功能

✓ IOC 均为无害占位符（your_appkey_here 示例密钥、8.8.8.8 公共DNS IP）

Scan Report

Findings 1 items

File Tree

Dependencies 1 items

Security Positives