initiation_of_coverage_or_deep_dive 安全扫描报告 — 低风险 | ClawSafe

10 /100

initiation_of_coverage_or_deep_dive

依托东方财富数据库，面向沪深京港美上市公司生成首次覆盖报告或深度研究报告

合法的东方财富金融报告生成工具，代码清晰功能单一，无恶意行为发现

技能名称initiation_of_coverage_or_deep_dive

分析耗时38.5s

引擎pi

✓

可以安装

可直接使用，仅需注意生产环境不要在文档中暴露真实API密钥

安全发现 3 项

严重性	安全发现	位置
低危	文档包含占位符API密钥示例 SKILL.md 第47行包含 'your_api_key_here' 示例文本，属于文档占位符非真实凭证 `export EM_API_KEY="your_api_key_here"` → 生产部署时确保使用真实密钥而非示例文本	`SKILL.md:47`
提示	外部URL依赖脚本调用外部API https://ai-saas.eastmoney.com，属于声明的业务功能 `BASE_URL = os.environ.get('MX_SAAS_BASE_URL', 'https://ai-saas.eastmoney.com')` → 确认该域名可信，本案例中为东方财富官方服务	`scripts/generate_deep_research_report.py:72`
提示	输出目录可配置 PDF/Word附件保存路径可通过环境变量或参数配置，默认写入相对目录 `DEFAULT_OUTPUT_DIR = Path.cwd() / 'miaoxiang' / 'initiation_of_coverage_or_deep_dive'` → 生产环境建议配置为绝对路径	`scripts/generate_deep_research_report.py:78`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/generate_deep_research_report.py:100 - 仅写入配置的输出目录
网络访问	`READ`	`READ`	✓ 一致	scripts/generate_deep_research_report.py:86 - 仅调用东方财富API
环境变量	`READ`	`READ`	✓ 一致	scripts/generate_deep_research_report.py:52 - 仅读取 EM_API_KEY
命令执行	`NONE`	`NONE`	—	无 subprocess 调用
数据库	`NONE`	`NONE`	—	无数据库操作
剪贴板	`NONE`	`NONE`	—	无剪贴板访问
浏览器	`NONE`	`NONE`	—	无浏览器操作
技能调用	`NONE`	`NONE`	—	无嵌套技能调用

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:47

🔗

中危外部 URL 外部 URL

https://ai-saas.eastmoney.com

scripts/generate_deep_research_report.py:72

2 文件 · 16.2 KB · 395 行

Python 1f · 220L Markdown 1f · 175L

├─ ▾ 📁 scripts

│ └─ 🐍 generate_deep_research_report.py Python 220L · 9.8 KB

└─ 📝 SKILL.md Markdown 175L · 6.4 KB

包名	版本	来源	已知漏洞	备注
`httpx`	`*`	pip	否	无版本锁定，但httpx是知名安全库，定期更新

✓ 代码结构清晰，职责单一，仅用于金融报告生成

✓ 无 shell/subprocess 调用，使用安全的 asyncio/httpx

✓ 无凭证收割行为，仅读取必要的 EM_API_KEY

✓ 无敏感路径访问（~/.ssh、~/.aws、.env等）

✓ 声明与实际能力完全一致，无阴影功能

✓ API密钥仅用于调用东方财富官方服务，无外泄风险

✓ base64解码仅用于处理返回的PDF/Word附件

✓ 错误处理完善，不会泄露敏感信息