Scan Report
5 /100
Auto Parts OE Inquiry
汽车配件OE信息查询
汽车配件OE信息查询技能,功能单一纯粹,仅调用外部API获取数据,无任何可疑行为。
Safe to install
可直接使用。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | READ | ✓ Aligned | parts.py 无文件读写操作 |
| Network | READ | READ | ✓ Aligned | parts.py:52 仅调用 jisuapi.com |
| Shell | NONE | NONE | — | 无 subprocess 或 os.system 调用 |
| Environment | READ | READ | ✓ Aligned | parts.py:118 仅读取 JISU_API_KEY |
1 High 4 findings
High API Key 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:28 Medium External URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 Medium External URL 外部 URL
https://www.jisuapi.com/api/parts/ SKILL.md:21 Medium External URL 外部 URL
https://api.jisuapi.com/parts parts.py:14 File Tree
2 files · 11.1 KB · 296 lines Python 1f · 165L
Markdown 1f · 131L
├─
parts.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
requests | * | pip | No | 无版本锁定,但 requests 库本身安全记录良好 |
Security Positives
✓ 代码结构清晰,四个子命令(brand/search/salecar/replace)逻辑独立
✓ 声明的功能与实际实现完全一致,无阴影功能
✓ API 调用使用 timeout=10 防止阻塞
✓ 参数验证完善,拒绝空参数请求
✓ 错误处理健壮,返回结构化错误信息
✓ 无凭证收割行为,仅读取自身所需的 API key
✓ 无远程执行能力,无 shell 命令注入风险