ID Card Number Origin Query - 身份证号码归属地查询安全扫描报告 — 可信 | ClawSafe | ClawSafe

5 /100

ID Card Number Origin Query - 身份证号码归属地查询

基于极速数据 API 的身份证号码归属地查询技能，支持身份证验证和城市编码查询

合法的极速数据身份证归属地查询技能，行为与声明完全一致，无恶意行为。

技能名称ID Card Number Origin Query - 身份证号码归属地查询

分析耗时23.4s

引擎pi

✓

可以安装

可直接使用，仅调用指定的 JisuAPI 端点，无文件写入、无凭证外传。

安全发现 2 项

严重性	安全发现	位置
低危	第三方依赖 requests 未声明版本 idcard.py 导入 requests 但项目中无 requirements.txt 或依赖锁定文件，存在依赖漂移风险。 `import requests` → 添加 requirements.txt，内容为 requests>=2.28.0	`idcard.py:10`
提示	SKILL.md 中的 API Key 占位符 SKILL.md:28 包含示例值 'your_appkey_here'，为纯文档用途，非实际凭证泄露。 `export JISU_API_KEY="your_appkey_here"` → 可接受，无需修复	`SKILL.md:28`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md: 脚本读取 JSON 参数；idcard.py 无文件写入操作
网络访问	`READ`	`READ`	✓ 一致	idcard.py:14-15 仅请求 api.jisuapi.com/idcard/query 和 /idcard/city2code
环境变量	`READ`	`READ`	✓ 一致	idcard.py:89 读取 JISU_API_KEY，SKILL.md 已声明
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system 等调用

1 高危 6 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:28

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/idcard/

SKILL.md:21

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/idcard

idcard.py:5

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/idcard/query

idcard.py:14

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/idcard/city2code

idcard.py:15

目录结构

2 文件 · 9.6 KB · 305 行

Markdown 1f · 155L Python 1f · 150L

├─ 🐍 idcard.py Python 150L · 3.6 KB

└─ 📝 SKILL.md Markdown 155L · 6.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`未声明（导入但无 requirements.txt）`	import	否	建议添加 requirements.txt 锁定版本

安全亮点

✓ 代码结构清晰，逻辑单一，仅实现身份证查询和城市编码两个功能

✓ 所有网络请求仅限于声明的 JisuAPI 域名，无外部数据外传

✓ 未访问任何敏感路径（~/.ssh、~/.aws、.env 等）

✓ 无 shell 执行、无 subprocess、无 base64/eval 等高危操作

✓ 凭证仅用于调用自身所需的 API，不进行任何转发或泄露

✓ 文档与实现完全对齐，无阴影功能