中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
QR Code Generation And Recognition - 二维码生成识别
按文本生成带模板样式的二维码(base64),或识别二维码内容及模板列表
声明与行为完全一致,无越权操作的纯前端 QR 码工具,依赖标准 requests 库,无阴影功能。
技能名称QR Code Generation And Recognition - 二维码生成识别
分析耗时23.8s
引擎pi
可以安装
可安全使用。requests 无版本锁定为轻微瑕疵,可通过固定 requests>=2.28.0 改善。

安全发现 2 项

严重性 安全发现 位置
低危
第三方依赖 requests 无版本锁定
qrcode.py 使用 requests 库但代码中未声明版本要求,pip install 时将安装最新版,存在上游破坏更新的极低风险。
import requests
→ 在 SKILL.md 或 README 中注明建议版本,如 requests>=2.28.0
 qrcode.py:11
提示
SKILL.md 中 API Key 占位符格式
SKILL.md:25 行出现 API_KEY="your_appkey_here",为文档占位符,非真实凭证,无实际风险。
export JISU_API_KEY="your_appkey_here"
→ 无需处理,属于正常文档示例
 SKILL.md:25
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 qrcode.py:39-40 — GET请求到 api.jisuapi.com/qrcode,与文档声明的极速数据 API 能力一致
环境变量 READ READ ✓ 一致 qrcode.py:126 — 仅读取 JISU_API_KEY,与 SKILL.md 声明一致
文件系统 NONE NONE qrcode.py — 无文件读写操作
命令执行 NONE NONE qrcode.py — 无 subprocess/os.system 等 shell 调用
1 高危 9 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here"
SKILL.md:25
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/
SKILL.md:9
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/api/qrcode/
SKILL.md:18
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/api/sms
SKILL.md:47
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/static/images/icon/qrcode.png
SKILL.md:54
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/qrcode/static/images/sample/1.png
SKILL.md:81
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/qrcode
qrcode.py:14
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/api/sms\
qrcode.py:113
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/qrcode/static/images/sample/1.png\
qrcode.py:114

目录结构

2 文件 · 10.4 KB · 307 行
Python 1f · 155L Markdown 1f · 152L
├─ 🐍 qrcode.py Python 155L · 4.2 KB
└─ 📝 SKILL.md Markdown 152L · 6.2 KB

依赖分析 1 项

包名版本来源已知漏洞备注
requests * pip 无版本锁定,存在极低的上游破坏风险

安全亮点

✓ 声明能力与实际代码完全一致,无阴影功能
✓ 仅调用声明的极速数据官方 API,无额外网络请求
✓ 不访问任何敏感路径(~/.ssh、~/.aws、.env 等)
✓ 不包含任何 shell 执行、子进程调用或代码动态生成
✓ 不遍历或收割环境变量中的敏感凭据
✓ 代码逻辑清晰,无混淆或隐藏逻辑
✓ 输入验证完善(JSON 解析、必填字段检查)
✓ 网络请求有超时保护(timeout=10)