扫描报告
5 /100
Auto Parts OE Inquiry
汽车配件OE信息查询
汽车配件OE信息查询技能,功能单一纯粹,仅调用外部API获取数据,无任何可疑行为。
可以安装
可直接使用。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | READ | ✓ 一致 | parts.py 无文件读写操作 |
| 网络访问 | READ | READ | ✓ 一致 | parts.py:52 仅调用 jisuapi.com |
| 命令执行 | NONE | NONE | — | 无 subprocess 或 os.system 调用 |
| 环境变量 | READ | READ | ✓ 一致 | parts.py:118 仅读取 JISU_API_KEY |
1 高危 4 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:28 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 中危 外部 URL 外部 URL
https://www.jisuapi.com/api/parts/ SKILL.md:21 中危 外部 URL 外部 URL
https://api.jisuapi.com/parts parts.py:14 目录结构
2 文件 · 11.1 KB · 296 行 Python 1f · 165L
Markdown 1f · 131L
├─
parts.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定,但 requests 库本身安全记录良好 |
安全亮点
✓ 代码结构清晰,四个子命令(brand/search/salecar/replace)逻辑独立
✓ 声明的功能与实际实现完全一致,无阴影功能
✓ API 调用使用 timeout=10 防止阻塞
✓ 参数验证完善,拒绝空参数请求
✓ 错误处理健壮,返回结构化错误信息
✓ 无凭证收割行为,仅读取自身所需的 API key
✓ 无远程执行能力,无 shell 命令注入风险