Calendar - 万年历查询安全扫描报告 — 可信 | ClawSafe

5 /100

Calendar - 万年历查询

查询指定日期的公历、农历、星座、生肖、黄历要点与节假日

纯正的日历查询工具，仅调用外部API获取公历/农历/节假日数据，代码与文档完全一致，无任何越权或恶意行为。

技能名称Calendar - 万年历查询

分析耗时31.6s

引擎pi

✓

可以安装

可安全使用

安全发现 2 项

严重性	安全发现	位置
提示	占位符凭证示例非真实密钥 SKILL.md:26 的 API_KEY="your_appkey_here" 是文档示例占位符，非实际硬编码凭证。脚本正确使用 os.getenv('JISU_API_KEY') 从环境变量读取。 `export JISU_API_KEY="your_appkey_here"` → 无需修改，这是合法的文档示例	`SKILL.md:26`
提示	第三方依赖 requests 无版本锁定 calendar.py 使用 requests 库但未声明依赖文件，建议添加 requirements.txt 锁定版本。 `import requests` → 添加 requirements.txt: requests>=2.28.0	`calendar.py:8`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	calendar.py 无任何文件读写操作
网络访问	`READ`	`READ`	✓ 一致	仅 GET 请求 jisuapi.com/calendar/*
命令执行	`NONE`	`NONE`	—	calendar.py 无 shell/subprocess 调用
环境变量	`READ`	`READ`	✓ 一致	os.getenv('JISU_API_KEY')
技能调用	`NONE`	`NONE`	—	无子技能调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器操作
数据库	`NONE`	`NONE`	—	无数据库操作

1 高危 5 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:26

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/calendar/

SKILL.md:14

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/calendar/query

calendar.py:14

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/calendar/holiday

calendar.py:15

2 文件 · 10.9 KB · 332 行

Markdown 1f · 187L Python 1f · 145L

├─ 🐍 calendar.py Python 145L · 3.7 KB

└─ 📝 SKILL.md Markdown 187L · 7.2 KB

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议添加 requirements.txt

✓ 文档-行为完全一致：声明调用 jisuapi.com API，代码确实如此

✓ 无 shell/subprocess 执行，无文件系统操作

✓ API 密钥正确从环境变量读取，未硬编码

✓ 代码结构清晰，错误处理完善

✓ 无任何凭证收割、数据外泄或隐蔽执行行为