中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
Weather Forecast - 全国天气预报
查询实时天气、7天预报、24小时逐时、空气质量与生活指数
纯气象查询技能,仅访问声明的 JisuAPI 接口,无越权行为
技能名称Weather Forecast - 全国天气预报
分析耗时20.8s
引擎pi
可以安装
可直接使用

安全发现 1 项

严重性 安全发现 位置
低危
依赖无版本锁定
requirements.txt 不存在,requests 库未指定版本,可能引入依赖漏洞
import requests
→ 建议添加 requirements.txt 锁定 requests>=2.28.0
 weather.py:6
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 weather.py:14-15 仅访问 jisuapi.com
环境变量 READ READ ✓ 一致 weather.py:100 仅读取 JISU_API_KEY
文件系统 NONE NONE weather.py 无文件读写操作
命令执行 NONE NONE weather.py 无 subprocess/eval 调用
2 高危 6 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here"
SKILL.md:28
📡
高危 IP 地址 硬编码 IP 地址
8.8.8.8
SKILL.md:60
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/
SKILL.md:9
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/api/weather/
SKILL.md:21
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/weather/query
weather.py:14
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/weather/city
weather.py:15

目录结构

2 文件 · 11.5 KB · 384 行
Markdown 1f · 222L Python 1f · 162L
├─ 📝 SKILL.md Markdown 222L · 7.2 KB
└─ 🐍 weather.py Python 162L · 4.3 KB

依赖分析 1 项

包名版本来源已知漏洞备注
requests * pip 无版本锁定,建议锁定

安全亮点

✓ 代码逻辑清晰,仅实现声明的天气查询功能
✓ 网络访问仅限声明的 jisuapi.com 两个端点
✓ 无 shell 执行、文件写入、凭证遍历等高危操作
✓ SKILL.md 与 weather.py 行为完全一致,无阴影功能
✓ IOC 均为无害占位符(your_appkey_here 示例密钥、8.8.8.8 公共DNS IP)