skills/tristanmanchester/track17

track17

📦 零依赖的跨境物流追踪管家

基于17TRACK官方API的本地包裹追踪工具,使用SQLite存储数据,支持轮询和Webhook双模式更新,适合个人和小型团队管理跨境物流。

收藏
5.4k
安装
1.3k
版本
v0.1.0
CLS 安全性认证2026-05-04
点击查看完整报告 >

使用说明

核心用法

track17是一个面向Clawdbot平台的包裹追踪技能,通过集成17TRACK官方API v2.2实现全球物流查询。用户可通过命令行工具完成完整的包裹生命周期管理:初始化本地SQLite数据库、添加追踪单号(支持自动识别承运商或手动指定)、轮询同步状态、查看详细物流节点,以及可选的Webhook实时推送接收。数据默认存储在工作区的packages/track17//目录下,支持通过环境变量自定义路径。

显著优点

零依赖架构:仅使用Python标准库(urllib、sqlite3、http.server等),彻底规避第三方包供应链风险,部署极其轻量。

灵活的双模式设计:既支持简单的定时轮询(sync命令),也支持Webhook服务器实时接收推送,满足不同场景需求。Webhook内置HMAC-SHA256签名验证,安全性有保障。

完善的输入验证:追踪号码采用正则表达式严格校验(^[A-Za-z0-9_-]+$),数据库ID强制整数转换,路径使用pathlib规范化,有效防范注入和遍历攻击。

隐私优先:API Token和Webhook密钥仅通过环境变量传递,绝不硬编码或持久化存储,代码中明确禁止回显敏感凭证。

潜在缺点与局限性

数据库无加密:本地SQLite文件以明文存储,若设备物理失窃或文件权限配置不当,包裹信息(含收件人相关线索)可能泄露。

Webhook防护不足:签名验证缺少时间戳机制,存在重放攻击理论风险;内置服务器无速率限制,直接暴露公网可能遭受DoS。

功能边界有限:仅支持17TRACK单一数据源,无法聚合其他追踪平台;缺乏多用户隔离机制,不适合SaaS化部署。

运维友好度一般:日志使用print输出而非标准logging模块,缺乏结构化日志和轮转配置,大规模使用时不便排查。

适合的目标群体

  • 跨境购物个人用户:频繁在AliExpress、eBay等平台购物,需要集中管理大量国际包裹
  • 小型代购/转运商家:订单量适中,需要低成本自动化追踪方案
  • 开发者/技术爱好者:希望自建物流追踪系统,对数据本地化和API可控性有要求
  • Clawdbot生态用户:已在使用该Agent平台,希望扩展物流管理能力

使用风险

API配额限制:17TRACK免费套餐有调用次数上限,高频轮询可能触发限流,需关注quota命令输出。

Webhook部署复杂度:生产环境使用Webhook需自行配置反向代理(如Nginx、Tailscale Funnel)处理TLS终止和IP限制,增加运维负担。

数据持久化依赖:SQLite在并发写入场景下性能有限,若多进程同时操作可能产生锁竞争;建议定期备份数据库文件。

服务可用性绑定:完全依赖17TRACK平台稳定性,若其API调整或下线,技能将失效。

安全解读

核心用法

track17 是面向 Clawdbot 的包裹追踪技能,通过官方 17TRACK API v2.2 实现全链路物流状态管理。采用本地 SQLite 数据库持久化存储,支持两种数据获取模式:

  • 轮询模式(推荐):sync 命令主动拉取更新,简单可靠
  • Webhook 模式:内置 HTTP 服务器接收 17TRACK 主动推送,适合高频追踪场景

CLI 设计直观,覆盖包裹生命周期全管理:add 注册追踪、status 查询详情、stop/retrack 启停追踪、remove 本地删除。支持自定义标签、承运商手动指定、API 配额查询等实用功能。

显著优点

1. 零依赖安全架构:仅使用 Python 标准库(sqlite3http.serverurllib),彻底消除供应链攻击风险
2. 密钥管理规范TRACK17_TOKENTRACK17_WEBHOOK_SECRET 全程环境变量获取,无硬编码敏感信息
3. SQL 注入防护:所有数据库操作采用参数化查询,静态分析评分 95 分
4. 网络透明可控:HTTPS 加密通信,目标限定官方 17TRACK 域名,无数据外泄
5. 工作空间自适应:自动探测 skills/ 父目录作为 workspace,支持环境变量覆盖路径

潜在局限

  • Webhook 暴露面webhook-server 虽默认绑定 127.0.0.1:8789,但 --bind 参数可修改为任意地址,误配公网 IP 将暴露服务
  • 项目成熟度:v0.1.0 初始版本,GitHub 维护活跃度、社区反馈尚待观察
  • 功能边界:专注追踪查询,不提供物流预测、运费计算等增值服务
  • 单点依赖:完全依赖 17TRACK API 可用性与数据准确性

适合人群

  • 跨境电商卖家、海淘用户需批量管理多平台包裹
  • 自建自动化工作流的极客用户(配合 cron 定时 sync
  • 对供应链安全敏感、拒绝 pip 依赖的企业环境

常规风险

| 风险项 | 说明 | 缓解措施 |
|--------|------|----------|
| Token 泄露 | 环境变量被进程dump或日志打印 | 配置最小权限 IAM,定期轮换 |
| Webhook 伪造 | 未启用签名验证时遭受 replay 攻击 | 设置 `TRACK17_WEBHOOK_SECRET` 并验证 payload 签名 |
| 本地数据丢失 | SQLite 文件未备份 | 定期复制 `<workspace>/packages/track17/` |
| API 配额耗尽 | 免费套餐有调用上限 | 监控 `quota` 命令输出,合理设置同步频率 |
apiproductivityautomationoperationsbackend

track17 内容

scripts文件夹
手动下载zip · 16.0 kB
track17.pytext/plain
请选择文件