Scan Report
15 /100
kalshi-crypto-momentum-trader
使用 7 天和 30 天价格趋势外推交易加密货币年末目标市场
合法的加密货币交易工具,代码逻辑清晰完整,无恶意行为,但文档对第三方SDK网络通信说明不足。
Safe to install
信任使用。建议查阅 simmer-sdk 源码以完整了解网络通信行为。确保 SOLANA_PRIVATE_KEY 存储环境安全。
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Low | 文档未声明网络通信行为 | SKILL.md:1 |
| Low | Solana私钥处理说明不足 | trader.py:72 |
| Info | 依赖 simmer-sdk 无版本锁定 | SKILL.md:97 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | READ | ✓ Aligned | trader.py:45 使用 simmer_sdk.skill.load_config 读取配置 |
| Network | NONE | WRITE | ✗ Violation | trader.py:176-210 通过 SimmerClient._request 访问 /api/sdk/markets, /api/sdk/positio… |
| Environment | NONE | READ | ✓ Aligned | trader.py:71-72,80,340 读取 SIMMER_API_KEY, SOLANA_PRIVATE_KEY, TRADING_VENUE 等环境变… |
| Shell | NONE | NONE | — | 无 subprocess/eval/动态执行代码 |
| Database | NONE | NONE | — | 无直接数据库操作 |
2 findings
Medium External URL 外部 URL
https://simmer.markets/skills SKILL.md:10 Info Email 邮箱地址
[email protected] SKILL.md:103 File Tree
4 files · 25.8 KB · 755 lines Python 1f · 560L
Markdown 1f · 105L
JSON 2f · 90L
├─
_meta.json
JSON
├─
clawhub.json
JSON
├─
SKILL.md
Markdown
└─
trader.py
Python
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
simmer-sdk | * | pip | No | 无版本锁定,文档建议审查源码 |
tradejournal | * | pip (optional) | No | 可选依赖,仅在存在时导入 |
Security Positives
✓ 代码结构清晰,分层合理(配置、模型、执行、CLI)
✓ 包含完整的风控机制:dry-run 模式、最大仓位限制、交易频率限制
✓ 无 subprocess/eval/动态代码执行等高危操作
✓ 无 base64 编码 payload、shell 管道等可疑模式
✓ 文档包含安全提示(审查源码后再提供凭证)
✓ 交易 journal 集成是可选的,不会导致强制数据外泄
✓ 自动化报告使用结构化 JSON 输出,无隐藏行为