Scan Report
10 /100
initiation_of_coverage_or_deep_dive
依托东方财富数据库,面向沪深京港美上市公司生成首次覆盖报告或深度研究报告
合法的东方财富金融报告生成工具,代码清晰功能单一,无恶意行为发现
Safe to install
可直接使用,仅需注意生产环境不要在文档中暴露真实API密钥
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Low | 文档包含占位符API密钥示例 | SKILL.md:47 |
| Info | 外部URL依赖 | scripts/generate_deep_research_report.py:72 |
| Info | 输出目录可配置 | scripts/generate_deep_research_report.py:78 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | scripts/generate_deep_research_report.py:100 - 仅写入配置的输出目录 |
| Network | READ | READ | ✓ Aligned | scripts/generate_deep_research_report.py:86 - 仅调用东方财富API |
| Environment | READ | READ | ✓ Aligned | scripts/generate_deep_research_report.py:52 - 仅读取 EM_API_KEY |
| Shell | NONE | NONE | — | 无 subprocess 调用 |
| Database | NONE | NONE | — | 无数据库操作 |
| Clipboard | NONE | NONE | — | 无剪贴板访问 |
| Browser | NONE | NONE | — | 无浏览器操作 |
| Skill Invoke | NONE | NONE | — | 无嵌套技能调用 |
1 High 2 findings
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:47 Medium External URL 外部 URL
https://ai-saas.eastmoney.com scripts/generate_deep_research_report.py:72 File Tree
2 files · 16.2 KB · 395 lines Python 1f · 220L
Markdown 1f · 175L
├─
▾
scripts
│ └─
generate_deep_research_report.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
httpx | * | pip | No | 无版本锁定,但httpx是知名安全库,定期更新 |
Security Positives
✓ 代码结构清晰,职责单一,仅用于金融报告生成
✓ 无 shell/subprocess 调用,使用安全的 asyncio/httpx
✓ 无凭证收割行为,仅读取必要的 EM_API_KEY
✓ 无敏感路径访问(~/.ssh、~/.aws、.env等)
✓ 声明与实际能力完全一致,无阴影功能
✓ API密钥仅用于调用东方财富官方服务,无外泄风险
✓ base64解码仅用于处理返回的PDF/Word附件
✓ 错误处理完善,不会泄露敏感信息