tuniu-cli 安全扫描报告 — 可信 | ClawSafe

5 /100

tuniu-cli

途牛旅行统一助手，通过 tuniu CLI 调用机票、酒店、门票、火车票、邮轮、度假产品等旅行服务

纯文档型途牛旅行助手，无脚本代码，依赖官方 tuniu-cli 通过声明的途牛 API 端点执行旅行预订操作，行为与文档一致

技能名称tuniu-cli

分析耗时31.9s

引擎pi

✓

可以安装

可安全使用，注意仅通过 tuniu-cli 与 https://openapi.tuniu.cn/* 通信，PII 仅发送至途牛官方服务

安全发现 3 项

严重性	安全发现	位置
低危	外部 CLI 供应链依赖本 skill 依赖 npm 全局包 tuniu-cli@latest，无本地脚本代码，能力完全委托给第三方 CLI `npm install -g tuniu-cli@latest` → 建议在部署环境中锁定版本而非使用 latest，并验证包签名	`SKILL.md:25`
低危	动态服务发现机制 tuniu discovery refresh 可动态发现新服务端点，理论上可扩展至未声明的服务 `tuniu discovery refresh && tuniu discovery list` → 监控实际访问的 API 端点，确保在白名单范围内	`SKILL.md:145`
提示	PII 数据声明合规文档明确说明会将个人信息发送至途牛远端服务，符合同意要求 `预订功能会将用户提供的个人信息通过 tuniu CLI 发送至途牛远端服务` → 无需行动，已声明	`SKILL.md:60`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md 全文通过 tuniu call 执行 CLI 命令
网络访问	`READ`	`READ`	✓ 一致	SKILL.md 全文仅访问 https://openapi.tuniu.cn/* 官方 API
文件系统	`NONE`	`NONE`	—	SKILL.md 全文无文件读写操作
环境变量	`READ`	`READ`	✓ 一致	SKILL.md 仅读取 TUNIU_API_KEY

4 项发现

🔗

中危外部 URL 外部 URL

https://open.tuniu.com/mcp

SKILL.md:32

🔗

中危外部 URL 外部 URL

https://openapi.tuniu.cn/tour/mcp/discovery

SKILL.md:169

🔗

中危外部 URL 外部 URL

https://openapi.tuniu.cn/mcp/hotel

SKILL.md:182

🔗

中危外部 URL 外部 URL

https://openapi.tuniu.cn/mcp/ticket

SKILL.md:183

1 文件 · 21.9 KB · 580 行

Markdown 1f · 580L

└─ 📝 SKILL.md Markdown 580L · 21.9 KB

包名	版本	来源	已知漏洞	备注
`tuniu-cli`	`latest`	npm	否	官方途牛 CLI，需全局安装，能力完全委托给第三方

✓ 纯文档型 skill，无脚本代码，无执行风险

✓ 所有操作通过声明的官方 CLI 和 API 端点执行

✓ PII 处理有明确声明，符合同意要求

✓ 文档结构完整，详细说明了各服务使用方式

✓ 错误处理有完整退出码说明

✓ 有调试模式和日志输出指导