Scan Report
5 /100
multi_call
多路召回skill,从向量知识库召回QA问答对,从图数据库召回表DDL结构
多路召回技能,声明与实现一致,仅进行文件读写和数据库查询,无越权操作。
Safe to install
可安全使用
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | READ | READ | ✓ Aligned | multi_call.py:472-474 读写 .workflow/*.json |
| Network | READ | READ | ✓ Aligned | Neo4j/Milvus API调用,声明中已说明 |
| Shell | NONE | NONE | — | 无subprocess/os.system调用 |
1 findings
Medium External URL 外部 URL
https://dashscope.aliyuncs.com/compatible-mode/v1 multi_call.py:459 File Tree
3 files · 35.5 KB · 878 lines Python 1f · 690L
JavaScript 1f · 136L
Markdown 1f · 52L
├─
index.js
JavaScript
├─
multi_call.py
Python
└─
SKILL.md
Markdown
Dependencies 3 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
neo4j | * | pip | No | 官方驱动 |
pymilvus | * | pip | No | 官方向量数据库驱动 |
openai | * | pip | No | 官方API客户端 |
Security Positives
✓ 声明与实现完全一致:Neo4j表结构召回 + Milvus向量QA召回
✓ 无外部脚本下载,无curl/wget/eval等高危操作
✓ 环境变量仅用于连接外部服务,未外传凭证
✓ 异常处理完善,降级机制合理(Neo4j失败→默认DDL,Milvus失败→空QA对)
✓ 无base64编码、路径遍历或凭证收割行为
✓ Skill.md明确声明了所有外部依赖服务