Summary of JisuAPI - 极速数据API汇总安全扫描报告 — 可信 | ClawSafe | ClawSafe

5 /100

Summary of JisuAPI - 极速数据API汇总

统一入口：一个 Key 调用多类极速数据接口（天气、黄金、股票、快递等）

合法的数据API网关技能，代码质量良好，包含完善的API白名单和URL注入防护，无恶意行为发现。

技能名称Summary of JisuAPI - 极速数据API汇总

分析耗时31.2s

引擎pi

✓

可以安装

可直接使用。建议在生产环境中锁定 requests 库版本以提高依赖安全性。

安全发现 1 项

严重性	安全发现	位置
低危	第三方依赖无版本锁定代码使用 requests 库但未在依赖文件中指定版本，可能存在供应链风险 `import requests` → 建议添加 requirements.txt 并锁定 requests~=2.28.0 等版本	`jisu.py:11`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	jisu.py:146-150 仅向 api.jisuapi.com 发起 GET/POST 请求
环境变量	`READ`	`READ`	✓ 一致	jisu.py:210 仅读取 JISU_API_KEY 环境变量
文件系统	`NONE`	`NONE`	—	代码无任何文件读写操作
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md 声明使用 Bash 调用 python3，jisu.py 符合此声明

1 高危 4 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:18

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com

jisu.py:17

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/

jisu.py:139

目录结构

2 文件 · 20.4 KB · 379 行

Python 1f · 245L Markdown 1f · 134L

├─ 🐍 jisu.py Python 245L · 11.4 KB

└─ 📝 SKILL.md Markdown 134L · 9.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`unspecified`	pip	否	无版本锁定，建议锁定为 requests>=2.28.0

安全亮点

✓ API白名单验证（ALLOWED_APIS）有效防止越权调用

✓ 完善的URL注入防护（禁止 @, ?, #, :, \ 等危险字符）

✓ 路径遍历防护（禁止 . 和 .. 路径段）

✓ 相对路径检查防止绝对路径绕过

✓ 请求超时保护（timeout=15s）

✓ 凭证通过环境变量读取而非硬编码

✓ SKILL.md 与实际代码功能完全一致，无阴影功能

✓ POST方法仅用于官方文档声明的OCR接口

✓ 错误处理完善，返回结构化错误信息