Back to skill
Skillv1.0.0
ClawScan security
银行卡类型及真伪查询 - 即刻数据 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 29, 2026, 3:22 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能声明的功能、所需凭据和脚本实现之间总体一致:它使用即刻数据的开放 API 查询银行卡信息,所需环境变量与用途相符,代码无明显越界行为。
- Guidance
- 这个技能会把你输入的银行卡号发送到 https://api.jikeapi.cn/ 以查询卡信息,默认在输出时对卡号做脱敏,但如果你或用户显式请求(--no-mask 或在对话中要求完整卡号),脚本会处理并可能输出完整卡号。要点:1) 仅在你信任即刻数据服务且确实需要时提供真实卡号;2) 为这个技能配置的 AppKey(JIKE_BANK_CARD_QUERY_KEY 或脚本可接受的备用 JIKE_APPKEY)会被脚本读取(还会尝试读取脚本目录下的 .env),请勿在不受信任环境中放置高权限凭据;3) 如果你担心数据泄露,避免在对话中传输完整卡号,或使用测试/蒙版数据;4) 文档中略有不一致(metadata 仅列出 JIKE_BANK_CARD_QUERY_KEY,但脚本也接受 JIKE_APPKEY),建议在安装前确认你想用的环境变量名称并对 AppKey 做必要的权限和轮换控制。
Review Dimensions
- Purpose & Capability
- ok技能名、描述与实际行为一致:脚本调用即刻数据(api.jikeapi.cn)的银行卡查询与银行列表接口以返回卡类型、发卡行等信息。所需二进制为 python3,与脚本实现相符。
- Instruction Scope
- note运行说明与脚本行为基本匹配:默认对银行卡号脱敏,只有在用户明确使用 --no-mask 时才展示完整卡号。脚本也会按优先级读取命令行 --key、环境变量(JIKE_BANK_CARD_QUERY_KEY 或 JIKE_APPKEY)或脚本目录下的 .env 文件 —— SKILL.md/metadata 提及环境变量,但未在 metadata 中同时列出 JIKE_APPKEY(脚本支持该备用名称),这是小的文档一致性差异。脚本不会尝试读取或上传与任务无关的本地配置或凭据。
- Install Mechanism
- ok无安装规范(instruction-only + 附带脚本),不从不可信 URL 下载或写入任意二进制,风险低。仅要求系统上存在 python3,脚本通过标准库进行 HTTP 请求。
- Credentials
- note仅需一个 API Key(主凭据 JIKE_BANK_CARD_QUERY_KEY),这与访问第三方查询 API 的用途相称。但脚本也接受备用变量 JIKE_APPKEY 或从 .env 读取,这在 metadata 中未完全对称声明;用户应注意这两个变量均可被脚本读取。
- Persistence & Privilege
- ok技能不要求始终加载(always:false),也不修改其他技能或系统配置。它不会创建长期守护进程或持久系统权限。