vipshop-product-search Security Report — Trusted | ClawSafe

5 /100

vipshop-product-search

唯品会商品搜索技能，在 vip.com 搜索商品、比价、找折扣

合法的唯品会商品搜索工具，代码仅使用Python标准库向官方VIP.com API发送带认证令牌的请求，无shell执行、无凭证收割、无数据外泄。硬编码IP 120.0.0.0为User-Agent中的占位符，未用于实际连接，不构成实质威胁。

Skill Namevipshop-product-search

Duration39.9s

Enginepi

✓

Safe to install

可直接使用。无需修改。

Findings 2 items

Severity	Finding	Location
Low	User-Agent 中包含占位符 IP 地址 scripts/search.py 第59行在 User-Agent 字符串中包含硬编码 IP 地址 120.0.0.0，该值为伪造的浏览器标识符占位符，未用于实际网络连接目标，不存在真实的数据外泄或C2通信风险。 `'User-Agent': '...Chrome/120.0.0.0 Safari/537.36'` → 可忽略。120.0.0.0 是伪造浏览器标识，不具备网络威胁。如需改进可替换为标准 Chrome 版本号。	`scripts/search.py:59`
Info	API密钥硬编码在代码中唯品会 API 的 api_key 参数硬编码在 search.py 中。这是公开的客户端密钥，用于标识客户端应用，无用户凭证风险。 `'api_key': 'dafe77e7486f46eca2e17a256d3ce6b5'` → 可接受。该密钥为公开的客户端标识符，非用户密钥，无需外泄担忧。	`scripts/search.py:87`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/search.py:23 读取 ~/.vipshop-user-login/tokens.json
Network	`READ`	`READ`	✓ Aligned	scripts/search.py:51-75 向 mapi-pc.vip.com 发送 GET 请求

1 High 9 findings

📡

High IP Address 硬编码 IP 地址

120.0.0.0

scripts/search.py:59

🔗

Medium External URL 外部 URL

https://detail.vip.com/detail-1710613281-6920685689731485274.html

README.md:136

🔗

Medium External URL 外部 URL

https://h2.appsimg.com/xxx.jpg

README.md:138

🔗

Medium External URL 外部 URL

https://detail.vip.com/...

README.md:173

🔗

Medium External URL 外部 URL

https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/search/product/rank

README.md:410

🔗

Medium External URL 外部 URL

https://mapi-pc.vip.com/vips-mobile/rest/shopping/skill/product/module/list/v2

README.md:417

🔗

Medium External URL 外部 URL

https://www.vip.com/

scripts/search.py:62

🔗

Medium External URL 外部 URL

https://www.vip.com

scripts/search.py:63

🔗

Medium External URL 外部 URL

https://detail.vip.com/detail-

scripts/search.py:214

File Tree

3 files · 41.9 KB · 1086 lines

Markdown 2f · 680L Python 1f · 406L

├─ ▾ 📁 scripts

│ └─ 🐍 search.py Python 406L · 12.7 KB

├─ 📝 README.md Markdown 503L · 20.0 KB

└─ 📝 SKILL.md Markdown 177L · 9.2 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`Python 标准库`	`内置`	stdlib	No	仅使用 urllib、json、pathlib、sys、typing，无外部依赖

Security Positives

✓ 仅使用 Python 标准库（urllib、json、pathlib），无第三方依赖，无依赖供应链风险

✓ 无 shell 执行、无 subprocess 调用，仅通过 urllib 标准库发起 HTTP 请求

✓ 所有网络请求目标明确为官方唯品会域名（mapi-pc.vip.com、detail.vip.com），无境外或不明服务器

✓ 凭证仅用于向唯品会 API 发起认证请求，cookies 不外传

✓ 代码逻辑清晰，搜索→获取详情→格式化输出，路径单一，无隐蔽行为

✓ SKILL.md 声明与代码实际行为完全一致，无阴影功能

✓ 无环境变量遍历、无凭证收割模式

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives