AI机票预订助手

要点汇总与建议： - 功能一致性：脚本实现的功能（搜索、查询舱位、下单、改期、退票）与描述一致，使用 python3 发起 HTTP POST 到远端服务（默认 https://app-gate.fenbeitong.com/air_biz/skill/execute）。 - 需要注意的安全/隐私问题（高优先级）： 1) apiKey 存储位置：代码将 apiKey 明文写到系统临时目录 (/tmp 或 tempfile.gettempdir()) 的 .fbt_auth.json，这比写入用户主目录或受限存储更易被本地其他用户读取。SKILL.md 文档却写到 ~/.fbt_auth.json，文档与代码不一致。 2) TLS 验证被禁用：common.call_api() 与 call_api_without_auth() 使用 ssl._create_unverified_context()，绕过了 HTTPS 证书验证，存在中间人攻击风险（敏感 PII 与凭证可能被窃取或篡改）。 3) PII 泄露风险：脚本在控制台打印乘客姓名、手机号、证件号等（create_order.py 在请求前打印这些信息），会出现在终端/日志中，和 README 中“不要在日志中暴露 PII”自相矛盾。 4) 未声明的环境影响：可以通过环境变量 FBT_API_URL 更改后端地址（代码读取但文档未列出），应验证该端点是否可信。 - 操作建议： • 若要使用，先联系技能来源或维护者确认 API 服务域名与资质（app-gate.fenbeitong.com 是否为可信服务提供方）。 • 在部署或运行前，修改代码以恢复 TLS 证书验证（移除 ssl._create_unverified_context() 的使用），并尽量使用受保护的凭据存储而不是临时目录（将文件放在用户主目录下并设置合适的文件权限，或使用系统密钥环）。 • 不要在多用户或不受信任的机器上运行，因为 /tmp 中的凭据可能被其他本地用户读取。考虑把 auth 文件放到安全位置并加密。 • 如果关心日志隐私，删除或屏蔽脚本中打印完整乘客证件信息的语句，或确保运行环境不会保存命令行输出到持久日志。 • 要求作者/来源提供主页、隐私政策或服务方说明；目前包元数据缺少主页且来源未知，降低了可信度。 - 结论：该技能并非明显恶意，但实现上存在多项安全与隐私缺陷（尤其是 TLS 验证禁用与在 /tmp 中明文保存凭证），在未修复这些问题并确认后端可信前，不建议在生产或包含敏感 PII 的环境中使用。