中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:2 天前 重新扫描
10 /100
Train Ticket Inquiry - 火车查询
站站、车次、余票查询,返回时刻、票价与余票等
Clean train ticket inquiry skill with legitimate API integration and no malicious behavior.
技能名称Train Ticket Inquiry - 火车查询
分析耗时28.8s
引擎pi
可以安装
Skill is safe to use. Consider pinning requests library version for supply chain hygiene.

安全发现 1 项

严重性 安全发现 位置
低危
Unpinned dependency version
The requests library is imported without version constraints, creating potential supply chain risk if a malicious version is published.
import requests
→ Add requirements.txt with: requests>=2.28.0
 train.py:11
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 train.py:17-19 - API endpoints are jisuapi.com domains only
环境变量 READ READ ✓ 一致 train.py:143 - reads JISU_API_KEY only, documented in metadata
文件系统 NONE READ ✓ 一致 train.py:148 - json.loads(sys.argv[2]) for CLI input
命令执行 NONE NONE No subprocess, os.system, or shell execution found
1 高危 6 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_appkey_here"
SKILL.md:25
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/
SKILL.md:9
🔗
中危 外部 URL 外部 URL
https://www.jisuapi.com/api/train/
SKILL.md:18
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/train/station2s
train.py:14
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/train/line
train.py:15
🔗
中危 外部 URL 外部 URL
https://api.jisuapi.com/train/ticket
train.py:16

目录结构

2 文件 · 11.1 KB · 371 行
Python 1f · 191L Markdown 1f · 180L
├─ 📝 SKILL.md Markdown 180L · 5.7 KB
└─ 🐍 train.py Python 191L · 5.3 KB

依赖分析 1 项

包名版本来源已知漏洞备注
requests * pip Version not pinned - supply chain concern

安全亮点

✓ No shell execution (subprocess, os.system, shell=True)
✓ No credential exfiltration or external data transmission
✓ API calls limited to declared jisuapi.com domains only
✓ Clean JSON input parsing with proper error handling
✓ No access to sensitive paths (~/.ssh, ~/.aws, .env)
✓ No base64 encoding or obfuscation
✓ No hidden HTML comments or steganography
✓ Environment variable access is documented and scoped to JISU_API_KEY only
✓ Proper timeout (10s) on network requests