QR Code Generation And Recognition - 二维码生成识别 Security Report — Trusted | ClawSafe

5 /100

QR Code Generation And Recognition - 二维码生成识别

按文本生成带模板样式的二维码（base64），或识别二维码内容及模板列表

声明与行为完全一致，无越权操作的纯前端 QR 码工具，依赖标准 requests 库，无阴影功能。

Skill NameQR Code Generation And Recognition - 二维码生成识别

Duration23.8s

Enginepi

✓

Safe to install

可安全使用。requests 无版本锁定为轻微瑕疵，可通过固定 requests>=2.28.0 改善。

Findings 2 items

Severity	Finding	Location
Low	第三方依赖 requests 无版本锁定 qrcode.py 使用 requests 库但代码中未声明版本要求，pip install 时将安装最新版，存在上游破坏更新的极低风险。 `import requests` → 在 SKILL.md 或 README 中注明建议版本，如 requests>=2.28.0	`qrcode.py:11`
Info	SKILL.md 中 API Key 占位符格式 SKILL.md:25 行出现 API_KEY="your_appkey_here"，为文档占位符，非真实凭证，无实际风险。 `export JISU_API_KEY="your_appkey_here"` → 无需处理，属于正常文档示例	`SKILL.md:25`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	qrcode.py:39-40 — GET请求到 api.jisuapi.com/qrcode，与文档声明的极速数据 API 能力一致
Environment	`READ`	`READ`	✓ Aligned	qrcode.py:126 — 仅读取 JISU_API_KEY，与 SKILL.md 声明一致
Filesystem	`NONE`	`NONE`	—	qrcode.py — 无文件读写操作
Shell	`NONE`	`NONE`	—	qrcode.py — 无 subprocess/os.system 等 shell 调用

1 High 9 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:25

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/api/qrcode/

SKILL.md:18

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/api/sms

SKILL.md:47

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/static/images/icon/qrcode.png

SKILL.md:54

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/qrcode/static/images/sample/1.png

SKILL.md:81

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/qrcode

qrcode.py:14

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/api/sms\

qrcode.py:113

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/qrcode/static/images/sample/1.png\

qrcode.py:114

File Tree

2 files · 10.4 KB · 307 lines

Python 1f · 155L Markdown 1f · 152L

├─ 🐍 qrcode.py Python 155L · 4.2 KB

└─ 📝 SKILL.md Markdown 152L · 6.2 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，存在极低的上游破坏风险

Security Positives

✓ 声明能力与实际代码完全一致，无阴影功能

✓ 仅调用声明的极速数据官方 API，无额外网络请求

✓ 不访问任何敏感路径（~/.ssh、~/.aws、.env 等）

✓ 不包含任何 shell 执行、子进程调用或代码动态生成

✓ 不遍历或收割环境变量中的敏感凭据

✓ 代码逻辑清晰，无混淆或隐藏逻辑

✓ 输入验证完善（JSON 解析、必填字段检查）

✓ 网络请求有超时保护（timeout=10）

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives