特价机票

要点与建议： - PII 会被发送到外部服务：下单/鉴权流程会将乘客姓名、手机号、证件号等信息通过 HTTP POST 发送到技能使用的后端。仅在你完全信任该后端并了解其隐私政策与合规性时使用。 - SSL 验证被禁用：common.py 在发起 HTTPS 请求时使用 ssl._create_unverified_context()（跳过证书验证），这会使中间人攻击成为可能——即使目标域名看起来可信，也无法保证通信未被监听或篡改。除非开发者修复代码恢复证书验证，否则不要在不可信网络中传输敏感数据。 - apiKey 与缓存文件位置不一致：SKILL.md 写道 apiKey 存于用户主目录 (~/.fbt_auth.json)，但实际代码将其保存到系统临时目录（temp dir，例如 /tmp/.fbt_auth.json）。临时目录通常对系统上其它进程/用户更可见，可能导致凭证泄露。 - 可被环境变量重定向的后端：脚本读取 FBT_API_URL 环境变量来改变目标 API，如果你的运行环境或代理设置了此变量，敏感数据可能被发送到任意地址。确保没有被未授权的环境变量注入或代理劫持。 - 临时文件包含业务数据：脚本会在临时目录写入 flight_seat_items.json 与 endorse_seat_items.json，用于下单/改期。如果其他本地用户或进程能够访问临时目录，这些文件可能被读取。 建议采取的行动： - 在信任此技能前，请要求或确认开发者修复两项关键问题：移除 ssl._create_unverified_context()（恢复证书验证），并将凭证存放到安全的、权限受限的位置（或让用户自选存储位置）。 - 如果你必须使用，优先在受控/隔离的环境中运行（例如专用容器、仅限可信网络），并清理临时文件与凭证文件后再退出。 - 考虑向技能维护者或来源请求更多背景（代码签名、后端服务的隐私/安全说明、为什么文档与实现存储路径不一致）。 总体：功能合理但实现有明显安全/隐私瑕疵，建议在确认并修复这些问题后再将其用于处理真实个人敏感数据。