扫描报告
5 /100
multi_call
多路召回skill,从向量知识库召回QA问答对,从图数据库召回表DDL结构
多路召回技能,声明与实现一致,仅进行文件读写和数据库查询,无越权操作。
可以安装
可安全使用
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | multi_call.py:472-474 读写 .workflow/*.json |
| 网络访问 | READ | READ | ✓ 一致 | Neo4j/Milvus API调用,声明中已说明 |
| 命令执行 | NONE | NONE | — | 无subprocess/os.system调用 |
1 项发现
中危 外部 URL 外部 URL
https://dashscope.aliyuncs.com/compatible-mode/v1 multi_call.py:459 目录结构
3 文件 · 35.5 KB · 878 行 Python 1f · 690L
JavaScript 1f · 136L
Markdown 1f · 52L
├─
index.js
JavaScript
├─
multi_call.py
Python
└─
SKILL.md
Markdown
依赖分析 3 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
neo4j | * | pip | 否 | 官方驱动 |
pymilvus | * | pip | 否 | 官方向量数据库驱动 |
openai | * | pip | 否 | 官方API客户端 |
安全亮点
✓ 声明与实现完全一致:Neo4j表结构召回 + Milvus向量QA召回
✓ 无外部脚本下载,无curl/wget/eval等高危操作
✓ 环境变量仅用于连接外部服务,未外传凭证
✓ 异常处理完善,降级机制合理(Neo4j失败→默认DDL,Milvus失败→空QA对)
✓ 无base64编码、路径遍历或凭证收割行为
✓ Skill.md明确声明了所有外部依赖服务