Scan Report
5 /100
Bank Card Recognition OCR - 银行卡识别
银行卡图片OCR,返回卡号、银行与卡类型等
功能明确、无越权行为的银行卡OCR技能,仅调用第三方API完成识别,有完善的路径遍历防护。
Safe to install
可直接使用。建议在生产环境中通过环境变量而非文档传递 API Key。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | READ | READ | ✓ Aligned | bankcardcognition.py:54-83 仅读取图片文件 |
| Network | READ | READ | ✓ Aligned | bankcardcognition.py:85-112 仅调用 jisuapi.com 银行卡识别API |
| Environment | READ | READ | ✓ Aligned | bankcardcognition.py:120 仅读取 JISU_API_KEY |
| Shell | NONE | NONE | — | 代码未使用 subprocess/os.system |
1 High 4 findings
High API Key 疑似硬编码凭证
API_KEY="your_appkey_here" SKILL.md:21 Medium External URL 外部 URL
https://www.jisuapi.com/ SKILL.md:9 Medium External URL 外部 URL
https://www.jisuapi.com/api/bankcardcognition/ SKILL.md:16 Medium External URL 外部 URL
https://api.jisuapi.com/bankcardcognition/recognize bankcardcognition.py:17 File Tree
2 files · 10.1 KB · 309 lines Python 1f · 163L
Markdown 1f · 146L
├─
bankcardcognition.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
requests | * | pip | No | 无版本锁定,但作为知名库风险可控 |
Security Positives
✓ 良好的路径遍历防护:拒绝绝对路径和包含 .. 的路径
✓ 严格的输入验证:JSON解析、字段类型检查
✓ 完整的错误处理:网络错误、API错误、文件IO错误均有覆盖
✓ base64 编码异常捕获,防止畸形输入
✓ 仅声明单一 API 端点,无额外网络请求
✓ 无敏感路径访问(不读取 ~/.ssh、.env 等)
✓ 无凭证收割行为
✓ 无隐蔽的代码路径