Express Logistics Track - 快递物流查询安全扫描报告 — 可信 | ClawSafe

0 /100

Express Logistics Track - 快递物流查询

查快递物流轨迹与签收状态，支持自动识别公司与顺丰等校验

快递物流查询技能，代码与文档一致，无越权操作，无阴影功能

技能名称Express Logistics Track - 快递物流查询

分析耗时33.7s

引擎pi

✓

可以安装

无需修改，可安全使用

安全发现 2 项

严重性	安全发现	位置
提示	示例凭证占位符 SKILL.md:21 中的 API_KEY="your_appkey_here" 是文档示例占位符，非真实凭证，无泄露风险 `API_KEY="your_appkey_here"` → 无需处理，这是文档示例占位符	`SKILL.md:21`
提示	依赖无版本锁定 requests库无版本锁定，但该库为标准HTTP客户端，无已知高危漏洞 `import requests` → 可选：建议添加 requests>=2.28.0 以确保安全版本	`express.py:8`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md声明仅读取脚本，无文件写入操作
网络访问	`READ`	`READ`	✓ 一致	express.py:13-14 仅调用声明的 api.jisuapi.com 域名
命令执行	`NONE`	`NONE`	—	代码无subprocess调用，SKILL.md明确警告避免shell注入
环境变量	`READ`	`READ`	✓ 一致	express.py:119 仅读取JISU_API_KEY，无敏感信息遍历

1 高危 6 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:21

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/express

SKILL.md:14

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/express/static/images/logo/80/yunda.png

SKILL.md:95

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/express/query

express.py:13

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/express/type

express.py:14

目录结构

2 文件 · 10.2 KB · 327 行

Markdown 1f · 166L Python 1f · 161L

├─ 🐍 express.py Python 161L · 4.2 KB

└─ 📝 SKILL.md Markdown 166L · 6.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，但为标准HTTP库

安全亮点

✓ 文档与代码实现完全一致，无阴影功能

✓ 无shell执行、subprocess调用

✓ 网络请求仅访问声明的JisuAPI域名

✓ JSON输入解析规范，无命令注入风险

✓ 环境变量仅访问必需的JISU_API_KEY

✓ 代码逻辑简洁清晰，易于审计

✓ SKILL.md明确警告避免shell注入，体现安全意识