Scan Report
5 /100
Baidu Intelligent Search - 百度智能搜索生成
先联网搜索再由模型总结回答(智能搜索生成)
百度智能搜索生成技能,功能声明与实际行为完全一致,无越权操作,凭证通过环境变量读取后仅用于官方API调用。
Safe to install
可安全使用。注意:生产环境应替换示例中的API_KEY占位符为真实密钥。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | READ | READ | ✓ Aligned | baiduai.py:122 固定POST到qianfan.baidubce.com |
| Environment | READ | READ | ✓ Aligned | baiduai.py:156 仅读取BAIDU_API_KEY |
| Filesystem | NONE | NONE | — | 无文件读写操作 |
| Shell | NONE | NONE | — | 无subprocess或os.system调用 |
1 High 7 findings
High API Key 疑似硬编码凭证
API_KEY="your_appbuilder_api_key_here" SKILL.md:34 Medium External URL 外部 URL
https://cloud.baidu.com/doc/qianfan-api/s/Hmbu8m06u SKILL.md:9 Medium External URL 外部 URL
https://qianfan.baidubce.com/v2/ai_search/chat/completions SKILL.md:10 Medium External URL 外部 URL
https://www.jisuapi.com/ SKILL.md:15 Medium External URL 外部 URL
https://www.jisuapi.com SKILL.md:28 Medium External URL 外部 URL
https://www.jisuepc.com SKILL.md:29 Medium External URL 外部 URL
https://baijiahao.baidu.com/... SKILL.md:176 File Tree
2 files · 16.3 KB · 438 lines Markdown 1f · 221L
Python 1f · 217L
├─
baiduai.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
requests | * | pip | No | 建议锁定版本以确保依赖一致性 |
Security Positives
✓ 功能声明与代码实现完全一致,无阴影操作
✓ 网络请求固定指向百度千帆官方域名,无动态IP或可疑URL
✓ API密钥仅通过环境变量读取,不存在硬编码凭证
✓ 使用requests库进行HTTPS通信,请求超时设置合理(40s)
✓ 错误处理完善,区分网络错误/HTTP错误/API错误/JSON解析错误
✓ 代码结构清晰,无混淆或编码载荷
✓ 支持raw_body透传,与SKILL.md声明一致