1. 接口描述
接口请求域名: csip.tencentcloudapi.com 。
查询 Skill 安全检测结果。调用 CreateSkillScan 成功后使用返回的 ContentHash + EngineVersion 轮询本接口获取结果。上传成功后建议5分钟后首次轮询,如未检测完成之后每隔1分钟轮询一次。响应通过 Status 字段区分四种状态:检测完成(SUCCESS)、检测中(SCANNING)、无记录(NOT_FOUND)、检测失败(FAILED)。注意:检测结果保留90天,超期后将返回 NOT_FOUND。
默认接口请求频率限制:20次/秒。
推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。
2. 输入参数
以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数。
| 参数名称 | 必选 | 类型 | 描述 |
|---|---|---|---|
| Action | 是 | String | 公共参数,本接口取值:DescribeSkillScanResult。 |
| Version | 是 | String | 公共参数,本接口取值:2022-11-21。 |
| Region | 否 | String | 公共参数,此参数为可选参数。 |
| ContentHash | 是 | String | ZIP 文件的 SHA256 Hash 参数格式:sha256:<64位hex> 示例值:sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5 |
| EngineVersion | 是 | Integer | 指定引擎版本号 取值参考:由 CreateSkillScan 接口返回 示例值:20200 |
| ReportURLExpireHours | 否 | Integer | 报告签名地址有效期 单位:小时 默认值:8760(1年) 补充说明:对返回的 ReportURL 生效 示例值:24 |
3. 输出参数
| 参数名称 | 类型 | 描述 |
|---|---|---|
| Status | String | 检测状态 枚举值: SUCCESS:检测完成,有结果 SCANNING:检测进行中 NOT_FOUND:无检测记录 FAILED:检测失败 示例值:SUCCESS |
| Data | SkillScanItem | 检测结果详情。Status=SUCCESS 时大部分字段有值;Status=SCANNING 时仅包含 ContentHash 和 CreatedAt;Status=FAILED 时仅包含 ContentHash、FailedAt 和 Message;Status=NOT_FOUND 时仅包含 ContentHash |
| RequestId | String | 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。 |
4. 示例
示例1 查询检测完成的结果
输入示例
POST / HTTP/1.1
Host: csip.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeSkillScanResult
<公共请求参数>
{
"ContentHash": "sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5",
"EngineVersion": 20200
}输出示例
{
"Response": {
"Status": "SUCCESS",
"Data": {
"SkillName": "git-helper",
"SkillDescription": "用于批量执行 Git 仓库初始化、配置同步与辅助操作的 Skill。",
"ContentHash": "sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5",
"UploadFileCount": 37,
"RiskLevel": "malicious",
"PrimaryRuleID": "90002",
"Mitigation": "建议立即停止使用该 Skill,清理恶意持久化与外联逻辑,轮换疑似泄露凭证,并在修复完成后重新提交检测。",
"RiskDescription": "该 Skill 存在命令注入、凭证窃取与数据外传等多项高危行为,综合判定为恶意。",
"SecurityScore": 0,
"EngineVersion": 20200,
"CapabilityTags": [
{
"ID": "file_read",
"Name": "文件读取"
},
{
"ID": "file_write",
"Name": "文件修改"
}
],
"RuleCatalog": [
{
"RuleID": "90001",
"RuleName": "供应链风险"
},
{
"RuleID": "90002",
"RuleName": "命令执行风险"
},
{
"RuleID": "90003",
"RuleName": "网络请求与数据外传"
},
{
"RuleID": "90004",
"RuleName": "文件操作与敏感路径访问"
},
{
"RuleID": "90005",
"RuleName": "Prompt 注入风险"
},
{
"RuleID": "90006",
"RuleName": "远程脚本下载执行"
},
{
"RuleID": "90007",
"RuleName": "可疑编码/混淆"
},
{
"RuleID": "90008",
"RuleName": "其他安全风险"
}
],
"ScanItems": [
{
"ScanType": "AI",
"RuleList": [
{
"RuleID": "90002",
"Description": "在 git_helper/run.py 第 16 行发现 subprocess.run(f\"git {cmd}\", shell=True) 调用,用户参数直接拼接至 shell 命令导致命令注入"
},
{
"RuleID": "90003",
"Description": "在 git_helper/init_config.py 第 91 行发现 urllib.request.urlopen 向外部域名 POST 外传窃取的凭证和系统信息"
}
]
},
{
"ScanType": "STATIC",
"RuleList": [
{
"RuleID": "90001",
"Description": "Python 包 'reqeusts' 与热门包 'requests' 仅相差 2 个字符(编辑距离);requirements.txt 使用 >= 但无 == 精确锁定"
}
]
}
],
"ReportURL": "https://skill-scan-1258344699.cos.ap-guangzhou.myqcloud.com/html-reports/2026/04/02/42_a1b2c3d4e5f6g7h8.html",
"ScannedAt": "2026-04-02T09:13:23+08:00"
},
"RequestId": "e4f8c3a2-9b7d-4e6f-a1c5-d8b2e7f3a9c4"
}
}示例2 查询检测进行中的任务
输入示例
POST / HTTP/1.1
Host: csip.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeSkillScanResult
<公共请求参数>
{
"ContentHash": "sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5",
"EngineVersion": 20200
}输出示例
{
"Response": {
"Status": "SCANNING",
"Data": {
"ContentHash": "sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5",
"CreatedAt": "2026-04-02T09:08:00+08:00"
},
"RequestId": "f5a9d2b1-8c6e-4d3f-b7a2-e1c8f4d6a3b5"
}
}示例3 查询无检测记录
输入示例
POST / HTTP/1.1
Host: csip.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeSkillScanResult
<公共请求参数>
{
"ContentHash": "sha256:0000000000000000000000000000000000000000000000000000000000000000",
"EngineVersion": 20200
}输出示例
{
"Response": {
"Status": "NOT_FOUND",
"Data": {
"ContentHash": "sha256:0000000000000000000000000000000000000000000000000000000000000000"
},
"RequestId": "a1b2c3d4-5e6f-7a8b-9c0d-e1f2a3b4c5d6"
}
}示例4 查询检测失败的任务
输入示例
POST / HTTP/1.1
Host: csip.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeSkillScanResult
<公共请求参数>
{
"ContentHash": "sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5",
"EngineVersion": 20200
}输出示例
{
"Response": {
"Status": "FAILED",
"Data": {
"ContentHash": "sha256:93329ab36e34abf927eb029bc27db54e0041d7905c1f80a222998d88d62dd4c5",
"FailedAt": "2026-04-02T09:13:00+08:00",
"Message": "Scan task execution failed, please resubmit"
},
"RequestId": "c7d8e9f0-1a2b-3c4d-5e6f-7a8b9c0d1e2f"
}
}5. 开发者资源
腾讯云 API 平台
腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。
API Inspector
用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。
SDK
云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。
- Tencent Cloud SDK 3.0 for Python: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Java: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for PHP: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Go: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Node.js: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for .NET: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for C++: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Ruby: CNB, GitHub, Gitee
命令行工具
6. 错误码
该接口暂无业务逻辑相关的错误码,其他错误码详见 公共错误码。
