vipshop-product-detail Security Report — Trusted | ClawSafe

5 /100

vipshop-product-detail

唯品会商品详情查询技能，支持商品ID查询、价格信息、优惠活动、用户评价等

唯品会商品详情查询技能，功能正常、行为与声明一致，无恶意行为。预扫描标记的'硬编码IP'为误报，代码中不存在IP 120.0.0.0。

Skill Namevipshop-product-detail

Duration39.2s

Enginepi

✓

Safe to install

可直接使用。自动登录触发机制已在文档中声明，属于合法的用户体验优化设计。

Findings 2 items

Severity	Finding	Location
Low	预扫描硬编码IP标记为误报预扫描报告指出 scripts/detail.py:56 存在硬编码IP 120.0.0.0，实际检查代码发现第56行为 mars_cid 变量引用，无任何IP字符串。此为预扫描模式匹配的误报。 `mars_cid: mars_cid,` → 可忽略此警告，预扫描正则需优化以减少误报	`scripts/detail.py:56`
Info	自动登录触发为声明行为 SKILL.md明确声明'检测到未登录时，AI必须自动触发登录流程'，代码通过skill_invoke调用vipshop-user-login实现，属于文档声明范围内的能力使用。 `clawhub install vipshop-user-login` → 此行为已声明且合理，无需修改	`SKILL.md:65`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	detail.py:37-50 读取 ~/.vipshop-user-login/tokens.json
Network	`READ`	`READ`	✓ Aligned	detail.py:77-107 访问 mapi-pc.vip.com API
Skill Invoke	`ADMIN`	`ADMIN`	✓ Aligned	SKILL.md:65-72 clawhub install + use_skill 调用其他技能
Shell	`NONE`	`NONE`	—	无subprocess调用，仅使用Python标准库

1 High 10 findings

📡

High IP Address 硬编码 IP 地址

120.0.0.0

scripts/detail.py:56

🔗

Medium External URL 外部 URL

https://img.vip.vip.com/xxxxx.jpg

README.md:86

🔗

Medium External URL 外部 URL

https://detail.vip.com/detail-123456-6921714935983149512.html

README.md:126

🔗

Medium External URL 外部 URL

https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/detail/main/v6

README.md:341

🔗

Medium External URL 外部 URL

https://detail.vip.com/xxx?f=AIClaw

SKILL.md:47

🔗

Medium External URL 外部 URL

https://www.vip.com/

scripts/detail.py:59

🔗

Medium External URL 外部 URL

https://www.vip.com

scripts/detail.py:60

🔗

Medium External URL 外部 URL

https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/detail/more/v2

scripts/detail.py:177

🔗

Medium External URL 外部 URL

https://detail.vip.com/detail-$

scripts/detail.py:416

🔗

Medium External URL 外部 URL

https://detail.vip.com/detail-

scripts/detail.py:419

File Tree

3 files · 42.6 KB · 1127 lines

Markdown 2f · 607L Python 1f · 520L

├─ ▾ 📁 scripts

│ └─ 🐍 detail.py Python 520L · 21.5 KB

├─ 📝 README.md Markdown 399L · 12.7 KB

└─ 📝 SKILL.md Markdown 208L · 8.4 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`urllib`	`Python标准库`	stdlib	No	内置库，无安全风险
`json`	`Python标准库`	stdlib	No	内置库，无安全风险
`pathlib`	`Python标准库`	stdlib	No	内置库，无安全风险

Security Positives

✓ 仅使用Python标准库（urllib、json、pathlib），无外部依赖风险

✓ 声明能力与实际行为完全一致，无阴影功能

✓ 仅访问唯品会官方API，数据流向明确

✓ 凭证仅用于本地API调用，无外传行为

✓ 代码结构清晰，异常处理完善

Scan Report

Findings 2 items

File Tree

Dependencies 3 items

Security Positives