TV Program Preview - 电视节目预告安全扫描报告 — 可信 | ClawSafe

5 /100

TV Program Preview - 电视节目预告

按频道与日期查电视节目单，可查频道列表

功能单一的网络API封装器，仅调用极速数据电视节目预告接口，无越权操作，声明与实现一致。

技能名称TV Program Preview - 电视节目预告

分析耗时36.7s

引擎pi

✓

可以安装

无需封禁，可安全使用。

安全发现 2 项

严重性	安全发现	位置
提示	文档占位符示例非真实凭证 SKILL.md:26 包含 API_KEY="your_appkey_here"，这是文档中的占位符示例字符串，非真实密钥泄露。预扫描误将其标记为 HIGH 级 IOC。 `export JISU_API_KEY="your_appkey_here"` → 可忽略，无需修改文档（占位符是标准写法）或改用更明显的 <YOUR_KEY> 格式	`SKILL.md:26`
低危	requests 依赖无版本锁定无 requirements.txt 或 pyproject.toml，pip install 依赖 requests 无版本控制，可能引入向后不兼容更新。 `import requests` → 建议添加 requirements.txt 指定 requests 最小版本，如 requests>=2.28.0	`tv.py:8`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	tv.py:16 仅访问 api.jisuapi.com/tv，与文档声明一致
环境变量	`READ`	`READ`	✓ 一致	tv.py:113 仅读取 JISU_API_KEY，与文档声明一致
命令执行	`NONE`	`NONE`	—	tv.py 全文件无 subprocess/spawn 调用
文件系统	`NONE`	`NONE`	—	tv.py 无 open()/Path().write 等文件写操作

1 高危 4 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:26

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/tv/

SKILL.md:19

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/tv

tv.py:14

2 文件 · 8.7 KB · 290 行

Markdown 1f · 158L Python 1f · 132L

├─ 📝 SKILL.md Markdown 158L · 5.6 KB

└─ 🐍 tv.py Python 132L · 3.2 KB

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议指定 requests>=2.28.0

✓ 声明与实现完全一致，无阴影功能

✓ 仅访问单一指定域名 api.jisuapi.com，无未声明网络请求

✓ 无凭证收割、环境变量遍历或数据外传行为

✓ 无 shell 执行、文件写入等高危操作

✓ 代码结构简单清晰，易于审计