基于聚合数据车辆过户信息查询 API,通过车辆 VIN 码(车架号)查询车辆历史过户记录、过户前后所在城市、过户年月等关键数据,帮助二手车交易、金融、保险等场景评估车辆价值与风险。本技能使用无需用户注册聚合数据平台,安装后即可按实际查询付费使用。 车辆过户信息查询技能是根据用户提供的 VIN 码,提供车辆历史交易...
---
name: juhe-vehicle-owner-a2a
description: |
基于聚合数据车辆过户信息查询 API,通过车辆 VIN 码(车架号)查询车辆历史过户记录、过户前后所在城市、过户年月等关键数据,帮助二手车交易、金融、保险等场景评估车辆价值与风险。本技能使用无需用户注册聚合数据平台,安装后即可按实际查询付费使用。
车辆过户信息查询技能是根据用户提供的 VIN 码,提供车辆历史交易数据的支付宝 AI 付付费技能,基于 A2M(HTTP 402)收单协议。买家通过本 Skill 向卖家服务端发起请求,完成支付后获取相关结果。
调用过程仅上传查询用的 VIN 码至聚合数据服务端,无需提供手机号、身份证等其他个人隐私。
适用于用户查询车辆过户记录、历史车主相关信息的场景。
---
## 技能概述
本 Skill 提供**车辆过户信息查询**服务。当用户询问某辆车的历史过户记录时,使用此技能。
该服务是基于 A2M(HTTP 402)收单协议的付费资源。买家(消费者 Agent)通过本 Skill 向卖家服务端发起资源请求,服务端将返回 402 Payment-Needed 响应报文,买家需将该报文传递给支付宝的 alipay-payment-skill 技能以完成付款。
**涵盖内容:**
1. 车辆历史过户记录列表
2. 每次过户的年月(changeMonth)
3. 过户前/后所在城市(cityBefore / cityAfter)
4. 距上次过户的月数/年数(transMonth / transYear)
5. 总过户次数(transTimeSum)
6. 查询 VIN 码回显
**适用场景:**
1. 用户查询指定 VIN 码的车辆过户历史
2. 二手车交易前核实车辆过户次数与流转城市
3. 金融机构、保险公司评估车辆交易风险
## 一、系统运行安全要求
### 1.1 操作系统准入限制
本技能依赖 A2M 402 支付协议与支付宝支付 CLI 工具 `alipay-bot`,Windows 环境支付组件不兼容,禁止 Windows 系统运行本技能。
macOS / Linux,版本要求如下:
| 系统 | 版本要求 |
| ---- | -------- |
| macOS | 12 Monterey 或更高版本<br>推荐 macOS 14 Sonoma 或 macOS 15 Sequoia |
| Linux | Ubuntu:>= 21.04<br>Debian:>= 12<br>CentOS:>= 9 |
### 1.2 运行环境安全基线
禁止低于基线版本环境启动技能,启动前自动校验环境版本,不满足直接抛出阻断异常。
| 环境 | 版本要求 |
| ---- | -------- |
| Node.js | > 22 |
| npm | > 10 |
### 1.3 依赖安全管控
1. 前置强制依赖(必须在 ClawHub 完成安装并启用,缺失则技能禁用)
- `alipay-authenticate-wallet`:支付宝钱包身份鉴权技能
- `alipay-payment-skill`:A2M 402 支付收单核心技能
2. 依赖校验规则:技能启动时自动检测上述两个技能安装状态、开关状态;未安装/未开启支付功能时,主动提示用户完成前置部署,拒绝处理任何用户查询请求。
3. 第三方接口依赖:聚合数据车辆过户接口,仅允许文档指定域名 `apis.juhe.cn`,禁止转发请求至其他第三方域名。
## 二、用户意图安全触发规则
### 2.1 正向触发双条件(必须同时满足)
#### 条件 1:意图关键词命中(任意一条)
车辆过户类:车辆过户、过户记录、过户信息、过户历史、历史过户、历史车主、车主变更、车辆流转、VIN 查询过户、车架号查询过户、查过户次数。
#### 条件 2:具备有效查询参数
用户输入包含**有效 VIN 码(车架号)**,通常为 17 位字母数字组合(不含 I、O、Q),无模糊无目标提问。
### 2.2 强制拦截黑名单(命中任意一条,直接阻断技能触发,拒绝调用付费接口)
1. 纯科普无查询诉求:VIN 码结构科普、车架号编码规则说明类问答
2. 模糊无参数提问:只问过户信息但不提供具体 VIN 码
3. 跨品类车辆诉求:车辆违章、年检、保险报价、车型配置、车辆估值等非过户业务
4. 纯闲聊无查询:车辆趣味闲聊,无过户记录查询需求
5. 无效 VIN 格式:明显不符合 17 位 VIN 规范的输入
### 2.3 触发示例区分
✅ 合法触发(允许进入付费流程)
1. 帮我查 LSGVU69Z19Y056936 的过户记录
2. 这个车架号 WBA3A51060F123456 过户几次了
3. 查询 VIN 码 LSJW53H92NS123456 的历史过户信息
4. 这辆车过户前在哪个城市
❌ 拦截不触发(直接终止流程)
1. VIN 码是什么
2. 帮我查一下过户信息(无 VIN)
3. 查一下车辆违章记录
4. 这个车值多少钱
## 三、用户数据安全规范
### 3.1 采集数据清单(仅采集以下字段,禁止额外抓取用户信息)
仅临时内存读取用户输入的一类查询参数:
1. vin:车辆 VIN 码(车架号,17 位)
> 本技能**全程不采集、不读取、不存储**任何用户敏感个人信息:手机号、身份证号、姓名、住址、银行卡、人脸、设备标识、地理位置等。
### 3.2 数据传输安全规则
1. 传输协议:仅 HTTPS TLS1.3 加密请求聚合接口,禁止 HTTP 明文传输
2. 数据最小化:仅把 `vin` 一个业务参数上传至聚合服务端,不附加用户会话、设备、身份附加字段
3. 单次临时传输:参数仅本次接口请求使用,请求结束后内存立即销毁,无本地磁盘持久化存储、无日志落地完整 VIN、无缓存留存
4. 禁止数据共享:查询参数不得转发至支付宝支付技能以外任何第三方服务
### 3.3 数据生命周期管控
1. 采集阶段:仅用户确认付费后读取输入参数,未确认前不解析、不缓存任何用户输入
2. 使用阶段:仅用于聚合车辆过户接口入参,不可用于统计、营销、用户画像等其他用途
3. 销毁阶段:接口请求完成/支付失败/用户取消三种场景下,立即清空内存参数,无延时留存
4. 留存禁止:不写入本地文件、数据库、日志完整 VIN 查询内容;日志仅记录匿名请求计数,不含用户原始查询文本
### 3.4 隐私告知强制规范
付费确认弹窗必须完整公示隐私条款,缺失则不允许收集参数发起请求:
> 🚗 本服务为**车辆过户信息查询技能**,由聚合数据提供技术支持。
>
> - 费用:XX 元/次(以实际支付为准)
> - 支付方式:支付宝(通过 alipay-payment-skill 完成)
> - 隐私说明:仅将你本次查询的 VIN 码(车架号)临时加密发送至聚合数据服务端用于车辆过户记录查询,请求结束后数据立即销毁,无长期存储;本技能全程不会采集、存储你的身份证、手机号、住址、银行卡等任何个人隐私信息
>
> 如您同意以上条款,请回复「确认」「好的」「可以」「继续」「同意」「下一步」等肯定词或补充需要查询的 VIN 码。
> 如您不需要付费服务,请回复「取消」,本次查询立即终止,不记录任何查询信息。
## 四、付费与 A2M 402 收单安全流程
### 4.1 标准化七步安全工作流(不可调整步骤顺序)
#### 第一步:前置付费隐私告知(强制首步骤)
未获取用户明确同意前,禁止解析、提取、缓存任何 VIN 参数;用户回复「取消」直接销毁所有临时输入缓存,结束流程。
#### 第二步:参数合规校验与收集
1. 用户未提供 VIN 码:引导补充必填 VIN,无 VIN 不发起网络请求
2. 参数校验规则:VIN 码清洗为大写字母数字,过滤特殊注入字符(SQL 注入、XSS、HTML 脚本标签),校验长度为 17 位且不含 I/O/Q
3. VIN 规范化:去除空格、连字符等分隔符后校验
#### 第三步:接口请求体安全封装
请求仅允许 POST HTTPS 接口,固定请求约束不可篡改:
- 请求地址:`https://apis.juhe.cn/a2a/query`
- 请求头固定:`Content-Type: application/json`,禁止自定义头附加用户信息
- 固定 resourceId 不可修改:`807`
- 标准安全请求体模板(自动转义引号、特殊字符,防止 JSON 注入漏洞)
```json
{ "resourceId": "807", "data": { "vin": "清洗后VIN码" }, "isCharge": true }
```
- 禁止追加自定义字段、用户会话 ID、设备信息至请求 data 内部
#### 第四步:请求资源
仅允许访问聚合官方固定域名,拦截跨域未知第三方地址;接口超时设置 10s,超时直接抛出服务不可用异常,不重试循环请求。
向用户展示待查询的参数,严格遵守请求约束,向以下 URL 发起请求:
```
curl https://apis.juhe.cn/a2a/query \
-d '{"resourceId":"807","data":{"vin":"<用户输入的VIN码>"},"isCharge":true}' \
-H "Content-Type: application/json"
```
> 说明:接口路径 /a2a/query.php 为服务商固定后端地址,仅业务收单协议文案统一描述为 A2M,二者不冲突。
#### 第五步:处理 402 响应
你将收到一个**状态码为 402 的响应报文,其中包含 `Payment-Needed` 响应头**。此时你需要将**整个 402 响应报文**传递给支付宝的 **alipay-payment-skill** 技能,引导用户完成付款,并展示用户订单号(out_trade_no)。
#### 第六步:后续流程
完全转移到 alipay-payment-skill 技能的工作流,提示支付待确认的信息时,需要包含用户订单号(out_trade_no)。禁止 agent 更改用户提交的请求参数即 json 字符串。
#### 第七步:格式化数据输出
1. 读取同目录下的 `OUT_FORMAT.md`
2. 按模板填充接口返回字段
3. 以清晰、美观的 Markdown 呈现给用户
### 4.2 异常情况处理
- **用户拒绝付款**:尊重用户选择,告知用户该内容为付费资源,如需获取请完成支付。
- **请求返回非 402 状态码**:如返回 200,直接展示内容;如返回 4xx/5xx 错误,告知用户服务暂时不可用,建议稍后重试。
- 其余异常情况将由 alipay-payment-skill 技能处理。
## 五、Agent 运行强制约束
1. 参数缺失阻断:vin 必填参数为空,禁止发起任何网络接口请求
2. 402 报文不可篡改:完整透传原始响应,禁止修改订单、价格、资源 ID 等核心收单字段
3. 数据来源真实性约束:所有过户记录内容仅使用聚合接口返回数据,禁止本地虚构、编造过户信息
4. 输出格式约束:统一使用 Markdown 结构化输出,禁止原始 JSON、HTML 直接返回用户
5. 脚本过滤约束:接口返回富文本自动清除 script、iframe、a 跳转标签,仅保留纯文本段落
6. 参数用途约束:采集的 VIN 参数仅用于本次接口查询,禁止用于统计、推送、缓存复用
7. 无缓存约束:不实现本地、内存、磁盘多级缓存,每次用户查询必须重新发起接口请求
## 六、日志安全审计规范
1. 禁止日志落地用户原始查询文本、VIN 码等业务参数
2. 可记录匿名审计字段(无用户关联):请求时间、请求状态码、订单创建计数、接口响应耗时、异常类型
3. 日志留存周期:本地审计日志自动 7 天滚动清理,不永久留存
4. 禁止日志输出完整 402 支付报文、订单明文信息,仅记录匿名订单计数
**重要提示:** 查询结果仅供参考,请以实际车辆登记信息为准。
## 七、合规与风险免责声明
### 7.1 内容合规说明
1. 本技能车辆过户记录数据来源于第三方数据服务,可能存在延迟或遗漏,不得作为唯一交易决策依据
2. 本技能不生成、不传播违法违规、侵权内容
3. 禁止基于接口数据输出法律判定类确定性结论
### 7.2 隐私合规声明
1. 本技能严格遵循《个人信息保护法》最小必要采集原则,仅采集 VIN 码,无任何其他敏感信息采集行为
2. 第三方聚合数据接口传输全程 TLS 加密,无明文数据泄露风险
3. 无用户数据持久化存储行为,不存在用户信息泄露、倒卖、共享风险
### 7.3 风险免责提示
所有车辆过户记录查询内容仅供参考,用户需结合实际情况理性判断,因轻信查询结果做出决策产生的一切后果由用户自行承担。
don't have the plugin yet? install it then click "run inline in claude" again.