Summary of JisuAPI - 极速数据API汇总 Security Report — Trusted | ClawSafe

5 /100

Summary of JisuAPI - 极速数据API汇总

统一入口：一个 Key 调用多类极速数据接口（天气、黄金、股票、快递等）

合法的数据API网关技能，代码质量良好，包含完善的API白名单和URL注入防护，无恶意行为发现。

Skill NameSummary of JisuAPI - 极速数据API汇总

Duration31.2s

Enginepi

✓

Safe to install

可直接使用。建议在生产环境中锁定 requests 库版本以提高依赖安全性。

Findings 1 items

Severity	Finding	Location
Low	第三方依赖无版本锁定代码使用 requests 库但未在依赖文件中指定版本，可能存在供应链风险 `import requests` → 建议添加 requirements.txt 并锁定 requests~=2.28.0 等版本	`jisu.py:11`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	jisu.py:146-150 仅向 api.jisuapi.com 发起 GET/POST 请求
Environment	`READ`	`READ`	✓ Aligned	jisu.py:210 仅读取 JISU_API_KEY 环境变量
Filesystem	`NONE`	`NONE`	—	代码无任何文件读写操作
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明使用 Bash 调用 python3，jisu.py 符合此声明

1 High 4 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:18

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

Medium External URL 外部 URL

https://api.jisuapi.com

jisu.py:17

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/

jisu.py:139

File Tree

2 files · 20.4 KB · 379 lines

Python 1f · 245L Markdown 1f · 134L

├─ 🐍 jisu.py Python 245L · 11.4 KB

└─ 📝 SKILL.md Markdown 134L · 9.0 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`requests`	`unspecified`	pip	No	无版本锁定，建议锁定为 requests>=2.28.0

Security Positives

✓ API白名单验证（ALLOWED_APIS）有效防止越权调用

✓ 完善的URL注入防护（禁止 @, ?, #, :, \ 等危险字符）

✓ 路径遍历防护（禁止 . 和 .. 路径段）

✓ 相对路径检查防止绝对路径绕过

✓ 请求超时保护（timeout=15s）

✓ 凭证通过环境变量读取而非硬编码

✓ SKILL.md 与实际代码功能完全一致，无阴影功能

✓ POST方法仅用于官方文档声明的OCR接口

✓ 错误处理完善，返回结构化错误信息

Scan Report

Findings 1 items

File Tree

Dependencies 1 items

Security Positives