扫描报告
5 /100
amap-lbs-skill
高德地图综合服务,支持POI搜索、路径规划、旅游规划、周边搜索和热力图数据可视化
Legitimate Amap (高德地图) LBS service skill with properly declared capabilities and no security issues detected.
可以安装
No action required - the skill is safe to use.
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | index.js:17-35 config.json read/write |
| 网络访问 | READ | READ | ✓ 一致 | index.js:66-95 axios calls to restapi.amap.com |
| 命令执行 | NONE | NONE | — | No subprocess/exec usage found |
| 环境变量 | READ | READ | ✓ 一致 | index.js:51-53 reads AMAP_KEY, AMAP_WEBSERVICE_KEY only |
| 技能调用 | NONE | NONE | — | No cross-skill invocation |
| 剪贴板 | NONE | NONE | — | No clipboard access |
| 浏览器 | NONE | NONE | — | Generates URLs only, no browser control |
| 数据库 | NONE | NONE | — | No database access |
24 项发现
中危 外部 URL 外部 URL
https://lbs.amap.com/api/webservice/summary SKILL.md:13 中危 外部 URL 外部 URL
https://lbs.amap.com/api/webservice/create-project-and-key SKILL.md:40 中危 外部 URL 外部 URL
https://www.amap.com/search?query= SKILL.md:76 中危 外部 URL 外部 URL
https://www.amap.com/search?query=美食 SKILL.md:93 中危 外部 URL 外部 URL
https://www.amap.com/search?query=酒店 SKILL.md:94 中危 外部 URL 外部 URL
https://www.amap.com/search?query=天安门 SKILL.md:95 中危 外部 URL 外部 URL
https://www.amap.com/search?query=加油站 SKILL.md:96 中危 外部 URL 外部 URL
https://lbs.amap.com SKILL.md:140 中危 外部 URL 外部 URL
https://restapi.amap.com/v3/geocode/geo?address= SKILL.md:148 中危 外部 URL 外部 URL
https://ditu.amap.com/search?query= SKILL.md:181 中危 外部 URL 外部 URL
https://restapi.amap.com/v3/geocode/geo?address=西直门&output=JSON&key=xxx SKILL.md:200 中危 外部 URL 外部 URL
https://ditu.amap.com/search?query=美食&query_type=RQBXY&longitude=116.353138&latitude=39.939385&range=1000 SKILL.md:202 中危 外部 URL 外部 URL
http://a.amap.com/jsapi_demo_show/static/openclaw/heatmap.html?mapStyle= SKILL.md:227 中危 外部 URL 外部 URL
https://a.amap.com/Loca/static/loca-v2/demos/mock_data/hz_house_order.json SKILL.md:248 中危 外部 URL 外部 URL
http://a.amap.com/jsapi_demo_show/static/openclaw/heatmap.html?mapStyle=grey&dataUrl=https%3A%2F%2Fa.amap.com%2FLoca%2Fs... SKILL.md:256 中危 外部 URL 外部 URL
https://lbs.amap.com/ SKILL.md:424 中危 外部 URL 外部 URL
https://lbs.amap.com/api/webservice/guide/api-advanced/newpoisearch SKILL.md:426 中危 外部 URL 外部 URL
https://lbs.amap.com/api/webservice/create-project-and-key\n index.js:69 中危 外部 URL 外部 URL
https://restapi.amap.com/v5/place/text index.js:90 中危 外部 URL 外部 URL
https://restapi.amap.com/v3/direction/walking index.js:126 中危 外部 URL 外部 URL
https://restapi.amap.com/v3/direction/driving index.js:162 中危 外部 URL 外部 URL
https://restapi.amap.com/v4/direction/bicycling index.js:202 中危 外部 URL 外部 URL
https://restapi.amap.com/v3/direction/transit/integrated index.js:239 中危 外部 URL 外部 URL
https://a.amap.com/jsapi_demo_show/static/openclaw/travel_plan.html index.js:273 目录结构
8 文件 · 37.4 KB · 1220 行 JavaScript 4f · 766L
Markdown 1f · 426L
JSON 3f · 28L
├─
▾
scripts
│ ├─
poi-search.js
JavaScript
│ ├─
route-planning.js
JavaScript
│ └─
travel-planner.js
JavaScript
├─
_meta.json
JSON
├─
config.example.json
JSON
├─
index.js
JavaScript
├─
package.json
JSON
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
axios | ^1.13.6 | npm | 否 | Version range specified with caret - consider pinning to exact version |
安全亮点
✓ API key access is scoped to specifically named variables (AMAP_KEY, AMAP_WEBSERVICE_KEY), not iterating through all env vars
✓ Network requests target only legitimate Amap API domains (restapi.amap.com)
✓ No credential exfiltration or data leakage detected
✓ No obfuscation techniques (base64, eval, etc.)
✓ No remote script execution (curl|bash, wget|sh)
✓ No access to sensitive paths (~/.ssh, ~/.aws, .env files)
✓ Dependencies pinned to specific versions (axios ^1.13.6)
✓ No hidden functionality or shadow features
✓ Configuration stored locally in config.json as documented
✓ Scripts use safe argument parsing (process.argv) without shell execution