中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:2 天前 重新扫描
15 /100
kalshi-crypto-momentum-trader
使用 7 天和 30 天价格趋势外推交易加密货币年末目标市场
合法的加密货币交易工具,代码逻辑清晰完整,无恶意行为,但文档对第三方SDK网络通信说明不足。
技能名称kalshi-crypto-momentum-trader
分析耗时47.4s
引擎pi
可以安装
信任使用。建议查阅 simmer-sdk 源码以完整了解网络通信行为。确保 SOLANA_PRIVATE_KEY 存储环境安全。

安全发现 3 项

严重性 安全发现 位置
低危
文档未声明网络通信行为
trader.py 通过 simmer-sdk 与外部交易API通信,但 SKILL.md 未明确说明此行为
文档仅说明'交易Kalshi年末目标市场',未声明通过网络API操作
→ 在 SKILL.md 添加网络通信说明,列出访问的外部端点
 SKILL.md:1
低危
Solana私钥处理说明不足
代码访问 SOLANA_PRIVATE_KEY 用于交易签名,但文档仅在 Required Credentials 表格中提及,未说明处理流程
api_key = os.environ.get('SIMMER_API_KEY') # ... _client = SimmerClient(api_key=api_key, ...)
→ 添加私钥安全使用指南,说明密钥如何传递给SDK及安全存储建议
 trader.py:72
提示
依赖 simmer-sdk 无版本锁定
requirements.txt 不存在,pip install 无版本锁定可能引入供应链风险
Review the source before providing live credentials if you require full auditability.
→ 建议审查 simmer-sdk 源码后再提供 live 凭证(文档已建议)
 SKILL.md:97
资源类型声明权限推断权限状态证据
文件系统 NONE READ ✓ 一致 trader.py:45 使用 simmer_sdk.skill.load_config 读取配置
网络访问 NONE WRITE ✗ 越权 trader.py:176-210 通过 SimmerClient._request 访问 /api/sdk/markets, /api/sdk/positio…
环境变量 NONE READ ✓ 一致 trader.py:71-72,80,340 读取 SIMMER_API_KEY, SOLANA_PRIVATE_KEY, TRADING_VENUE 等环境变…
命令执行 NONE NONE 无 subprocess/eval/动态执行代码
数据库 NONE NONE 无直接数据库操作
2 项发现
🔗
中危 外部 URL 外部 URL
https://simmer.markets/skills
SKILL.md:10
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:103

目录结构

4 文件 · 25.8 KB · 755 行
Python 1f · 560L Markdown 1f · 105L JSON 2f · 90L
├─ 📋 _meta.json JSON 5L · 148 B
├─ 📋 clawhub.json JSON 85L · 1.6 KB
├─ 📝 SKILL.md Markdown 105L · 4.0 KB
└─ 🐍 trader.py Python 560L · 20.1 KB

依赖分析 2 项

包名版本来源已知漏洞备注
simmer-sdk * pip 无版本锁定,文档建议审查源码
tradejournal * pip (optional) 可选依赖,仅在存在时导入

安全亮点

✓ 代码结构清晰,分层合理(配置、模型、执行、CLI)
✓ 包含完整的风控机制:dry-run 模式、最大仓位限制、交易频率限制
✓ 无 subprocess/eval/动态代码执行等高危操作
✓ 无 base64 编码 payload、shell 管道等可疑模式
✓ 文档包含安全提示(审查源码后再提供凭证)
✓ 交易 journal 集成是可选的,不会导致强制数据外泄
✓ 自动化报告使用结构化 JSON 输出,无隐藏行为