AI机票预订助手

此技能确实实现了机票搜索与下单等功能，但在隐私与安全实现上有明显问题。安装前请考虑并采取以下措施： - 不要直接在未审计环境中运行：先在隔离环境（例如受限容器或临时 VM）内测试网络流量和行为。 - 修复 TLS 验证：在 scripts/common.py 中移除或更改 ssl._create_unverified_context() 的使用，确保 urllib 使用默认证书验证以防中间人攻击。 - 修正凭据存储与权限：将 apiKey 存储到受限位置（例如用户主目录下的文件并设置文件权限 600，或更好使用操作系统的密钥链/凭据存储），并修正 SKILL.md 中关于保存位置的描述以保持一致。 - 避免在日志/控制台暴露 PII：删除或屏蔽脚本中打印乘客姓名、手机号、证件号等敏感信息的代码路径，或在输出前做最小必要化/脱敏处理，并在 SKILL.md 中明确告知用户将把哪些字段发送到外部服务并征得同意。 - 验证后端服务合法性：确认默认 API 域名（https://app-gate.fenbeitong.com/air_biz/skill/execute）是可信的官方服务；若不确定，请联系提供方或替换为受信任的端点。 - 审计网络流量与数据发送内容：检查发送到后端的 businessParams 内容，确认仅包含为完成操作所必需的数据，不含意外的本地敏感信息。 - 考虑临时文件清理与权限：临时文件（/tmp/flight_seat_items.json、endorse_seat_items.json、.fbt_auth.json）应在会话结束或不再需要时被删除，并确保其他系统用户无法读取。 如果您不具备修改代码的能力，谨慎选择：在生产环境保存真实个人信息或银行卡信息前，请要求作者修复上述问题或使用经过审核的第三方服务。