扫描报告
5 /100
vipshop-product-detail
唯品会商品详情查询技能,支持商品ID查询、价格信息、优惠活动、用户评价等
唯品会商品详情查询技能,功能正常、行为与声明一致,无恶意行为。预扫描标记的'硬编码IP'为误报,代码中不存在IP 120.0.0.0。
可以安装
可直接使用。自动登录触发机制已在文档中声明,属于合法的用户体验优化设计。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 预扫描硬编码IP标记为误报 | scripts/detail.py:56 |
| 提示 | 自动登录触发为声明行为 | SKILL.md:65 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | detail.py:37-50 读取 ~/.vipshop-user-login/tokens.json |
| 网络访问 | READ | READ | ✓ 一致 | detail.py:77-107 访问 mapi-pc.vip.com API |
| 技能调用 | ADMIN | ADMIN | ✓ 一致 | SKILL.md:65-72 clawhub install + use_skill 调用其他技能 |
| 命令执行 | NONE | NONE | — | 无subprocess调用,仅使用Python标准库 |
1 高危 10 项发现
高危 IP 地址 硬编码 IP 地址
120.0.0.0 scripts/detail.py:56 中危 外部 URL 外部 URL
https://img.vip.vip.com/xxxxx.jpg README.md:86 中危 外部 URL 外部 URL
https://detail.vip.com/detail-123456-6921714935983149512.html README.md:126 中危 外部 URL 外部 URL
https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/detail/main/v6 README.md:341 中危 外部 URL 外部 URL
https://detail.vip.com/xxx?f=AIClaw SKILL.md:47 中危 外部 URL 外部 URL
https://www.vip.com/ scripts/detail.py:59 中危 外部 URL 外部 URL
https://www.vip.com scripts/detail.py:60 中危 外部 URL 外部 URL
https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/detail/more/v2 scripts/detail.py:177 中危 外部 URL 外部 URL
https://detail.vip.com/detail-$ scripts/detail.py:416 中危 外部 URL 外部 URL
https://detail.vip.com/detail- scripts/detail.py:419 目录结构
3 文件 · 42.6 KB · 1127 行 Markdown 2f · 607L
Python 1f · 520L
├─
▾
scripts
│ └─
detail.py
Python
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 3 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
urllib | Python标准库 | stdlib | 否 | 内置库,无安全风险 |
json | Python标准库 | stdlib | 否 | 内置库,无安全风险 |
pathlib | Python标准库 | stdlib | 否 | 内置库,无安全风险 |
安全亮点
✓ 仅使用Python标准库(urllib、json、pathlib),无外部依赖风险
✓ 声明能力与实际行为完全一致,无阴影功能
✓ 仅访问唯品会官方API,数据流向明确
✓ 凭证仅用于本地API调用,无外传行为
✓ 代码结构清晰,异常处理完善