Stock Historical Data Query - 股票历史行情查询安全扫描报告 — 低风险 | ClawSafe

10 /100

Stock Historical Data Query - 股票历史行情查询

按代码与时间范围查历史日线，或查列表与详情，便于 K 线与走势分析

标准股票历史行情查询工具，仅调用外部 API 获取股票数据，无敏感操作

技能名称Stock Historical Data Query - 股票历史行情查询

分析耗时23.7s

引擎pi

✓

可以安装

可安全使用。建议为 requests 库添加版本锁定以避免依赖漏洞风险

安全发现 3 项

严重性	安全发现	位置
低危	第三方依赖无版本锁定代码使用 requests 库但未指定版本，可能使用含已知漏洞的旧版本 `import requests` → 添加 requirements.txt 并锁定版本：requests>=2.31.0	`stockhistory.py:6`
提示	脚本路径文档不一致 SKILL.md 声明路径为 skills/stockhistory/stockhistory.py，但实际文件位于根目录 `脚本文件：skills/stockhistory/stockhistory.py` → 非安全问题，但建议修正文档路径与实际一致	`SKILL.md:27`
提示	文档示例占位符非硬编码凭证预扫描标记的 API_KEY='your_appkey_here' 是文档中的占位符示例，非真实凭证 `export JISU_API_KEY="your_appkey_here"` → 误报，可忽略	`SKILL.md:25`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	stockhistory.py:6 通过 requests 访问 api.jisuapi.com
环境变量	`READ`	`READ`	✓ 一致	stockhistory.py:109 读取 JISU_API_KEY
文件系统	`NONE`	`NONE`	—	代码无文件读写操作
命令执行	`NONE`	`NONE`	—	代码无 subprocess/os.system 调用

1 高危 4 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:25

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/stockhistory/

SKILL.md:18

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/stockhistory

stockhistory.py:14

2 文件 · 11.5 KB · 342 行

Markdown 1f · 203L Python 1f · 139L

├─ 📝 SKILL.md Markdown 203L · 7.2 KB

└─ 🐍 stockhistory.py Python 139L · 4.3 KB

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议添加版本约束

✓ 无 shell 命令执行

✓ 无敏感路径访问（~/.ssh、.env、aws credentials 等）

✓ 无数据外泄行为

✓ 代码结构清晰，功能单一

✓ API 调用逻辑与文档声明一致