扫描报告
5 /100
Baidu Intelligent Search - 百度智能搜索生成
先联网搜索再由模型总结回答(智能搜索生成)
百度智能搜索生成技能,功能声明与实际行为完全一致,无越权操作,凭证通过环境变量读取后仅用于官方API调用。
可以安装
可安全使用。注意:生产环境应替换示例中的API_KEY占位符为真实密钥。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | baiduai.py:122 固定POST到qianfan.baidubce.com |
| 环境变量 | READ | READ | ✓ 一致 | baiduai.py:156 仅读取BAIDU_API_KEY |
| 文件系统 | NONE | NONE | — | 无文件读写操作 |
| 命令执行 | NONE | NONE | — | 无subprocess或os.system调用 |
1 高危 7 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appbuilder_api_key_here" SKILL.md:34 中危 外部 URL 外部 URL
https://cloud.baidu.com/doc/qianfan-api/s/Hmbu8m06u SKILL.md:9 中危 外部 URL 外部 URL
https://qianfan.baidubce.com/v2/ai_search/chat/completions SKILL.md:10 中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:15 中危 外部 URL 外部 URL
https://www.jisuapi.com SKILL.md:28 中危 外部 URL 外部 URL
https://www.jisuepc.com SKILL.md:29 中危 外部 URL 外部 URL
https://baijiahao.baidu.com/... SKILL.md:176 目录结构
2 文件 · 16.3 KB · 438 行 Markdown 1f · 221L
Python 1f · 217L
├─
baiduai.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 建议锁定版本以确保依赖一致性 |
安全亮点
✓ 功能声明与代码实现完全一致,无阴影操作
✓ 网络请求固定指向百度千帆官方域名,无动态IP或可疑URL
✓ API密钥仅通过环境变量读取,不存在硬编码凭证
✓ 使用requests库进行HTTPS通信,请求超时设置合理(40s)
✓ 错误处理完善,区分网络错误/HTTP错误/API错误/JSON解析错误
✓ 代码结构清晰,无混淆或编码载荷
✓ 支持raw_body透传,与SKILL.md声明一致