tuniu-cli Security Report — Trusted | ClawSafe

5 /100

tuniu-cli

途牛旅行统一助手，通过 tuniu CLI 调用机票、酒店、门票、火车票、邮轮、度假产品等旅行服务

纯文档型途牛旅行助手，无脚本代码，依赖官方 tuniu-cli 通过声明的途牛 API 端点执行旅行预订操作，行为与文档一致

Skill Nametuniu-cli

Duration31.9s

Enginepi

✓

Safe to install

可安全使用，注意仅通过 tuniu-cli 与 https://openapi.tuniu.cn/* 通信，PII 仅发送至途牛官方服务

Findings 3 items

Severity	Finding	Location
Low	外部 CLI 供应链依赖本 skill 依赖 npm 全局包 tuniu-cli@latest，无本地脚本代码，能力完全委托给第三方 CLI `npm install -g tuniu-cli@latest` → 建议在部署环境中锁定版本而非使用 latest，并验证包签名	`SKILL.md:25`
Low	动态服务发现机制 tuniu discovery refresh 可动态发现新服务端点，理论上可扩展至未声明的服务 `tuniu discovery refresh && tuniu discovery list` → 监控实际访问的 API 端点，确保在白名单范围内	`SKILL.md:145`
Info	PII 数据声明合规文档明确说明会将个人信息发送至途牛远端服务，符合同意要求 `预订功能会将用户提供的个人信息通过 tuniu CLI 发送至途牛远端服务` → 无需行动，已声明	`SKILL.md:60`

Resource	Declared	Inferred	Status	Evidence
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 全文通过 tuniu call 执行 CLI 命令
Network	`READ`	`READ`	✓ Aligned	SKILL.md 全文仅访问 https://openapi.tuniu.cn/* 官方 API
Filesystem	`NONE`	`NONE`	—	SKILL.md 全文无文件读写操作
Environment	`READ`	`READ`	✓ Aligned	SKILL.md 仅读取 TUNIU_API_KEY

4 findings

🔗

Medium External URL 外部 URL

https://open.tuniu.com/mcp

SKILL.md:32

🔗

Medium External URL 外部 URL

https://openapi.tuniu.cn/tour/mcp/discovery

SKILL.md:169

🔗

Medium External URL 外部 URL

https://openapi.tuniu.cn/mcp/hotel

SKILL.md:182

🔗

Medium External URL 外部 URL

https://openapi.tuniu.cn/mcp/ticket

SKILL.md:183

1 files · 21.9 KB · 580 lines

Markdown 1f · 580L

└─ 📝 SKILL.md Markdown 580L · 21.9 KB

Package	Version	Source	Known Vulns	Notes
`tuniu-cli`	`latest`	npm	No	官方途牛 CLI，需全局安装，能力完全委托给第三方

✓ 纯文档型 skill，无脚本代码，无执行风险

✓ 所有操作通过声明的官方 CLI 和 API 端点执行

✓ PII 处理有明确声明，符合同意要求

✓ 文档结构完整，详细说明了各服务使用方式

✓ 错误处理有完整退出码说明

✓ 有调试模式和日志输出指导