Bitget Trader Security Report — High Risk | ClawSafe

65 /100

Bitget Trader

Bitget交易所网格交易机器人和量化策略管理系统

Bitget网格交易机器人代码本身非恶意，但SKILL.md文档末尾嵌入了真实的API密钥(明文secretKey+passphrase)，凭证已暴露需立即吊销

Skill NameBitget Trader

Duration50.1s

Enginepi

⛔

Do not install this skill

1. 立即吊销SKILL.md中暴露的Bitget API密钥 2. 将真实凭证从文档中移除 3. 建议使用环境变量或密钥管理服务存储敏感配置 4. 审查config.json是否也在版本控制中

Findings 4 items

Severity	Finding	Location
Critical	SKILL.md嵌入了真实API凭证 Credential Theft SKILL.md文件末尾(约第270行)直接嵌入了Bitget交易所的真实API密钥，包括apiKey、secretKey和passphrase，攻击者可提取后完全控制交易所账户进行交易和提币 `"apiKey": "bg_73063f99df20ccf3320032e80d0bd1f3", "secretKey": "ecdc70207a6395da7772210d1c6c8bf1a88f47af83b24dec2aa066d91f495387", "passphrase": "Lin12345"` → 立即吊销该API密钥，使用环境变量或加密配置文件存储敏感信息	`SKILL.md:270`
High	config.json存储明文密钥 Credential Theft config.json文件包含明文API密钥和密码，未经加密存储 `{"apiKey": "bg_73063f99df20ccf3320032e80d0bd1f3", "secretKey": "...", "passphrase": "Lin12345"}` → 使用加密配置文件或密钥管理服务，将config.json加入.gitignore	`config.json:1`
Medium	凭证作为文档示例但实为真实密钥 Doc Mismatch SKILL.md将凭证嵌入在'保存到config.json'示例块中，但这些凭证是真实可用的，而非占位符 `Save to /Users/zongzi/.openclaw/workspace/bitget_data/config.json: {"apiKey": "bg_..."` → 文档应使用明确的占位符示例如'YOUR_API_KEY'，而非真实密钥	`SKILL.md:268`
Low	硬编码绝对路径泄露用户信息 Sensitive Access 多个脚本硬编码了用户目录路径/Users/zongzi/...，暴露了系统用户名 `/Users/zongzi/.openclaw/workspace/bitget_data/` → 使用相对路径或环境变量如$HOME/.openclaw/workspace/	`SKILL.md:14`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	所有脚本通过HTTPS访问api.bitget.com
Filesystem	`NONE`	`READ`	✓ Aligned	多个脚本读取config.json/grid_settings.json
Shell	`NONE`	`READ`	✓ Aligned	bitget-cli.js使用execSync执行node命令

10 findings

🔗

Medium External URL 外部 URL

https://api.bitget.com/api/v2/spot/market/tickers?symbol=SOLUSDT

GRID_STATUS_2026-03-17_2208.md:117

🔗

Medium External URL 外部 URL

https://www.bitget.com

MANUAL_SETUP.md:26

🔗

Medium External URL 外部 URL

https://api.bitget.com

MULTI_AGENT_SETUP_GUIDE.md:331

🔗

Medium External URL 外部 URL

https://www.google.com

MULTI_AGENT_TEST_REPORT_2026-03-17.md:189

🔗

Medium External URL 外部 URL

https://www.investopedia.com/

QUANT_SYSTEM.md:233

🔗

Medium External URL 外部 URL

https://www.quantconnect.com/

QUANT_SYSTEM.md:234

🔗

Medium External URL 外部 URL

http://127.0.0.1:7897

README.md:242

🔗

Medium External URL 外部 URL

https://api.bitget.com$

dynamic-adjust-v2.js:14

🔗

Medium External URL 外部 URL

https://api.binance.com/api/v3/klines?symbol=$

dynamic-adjust.js:16

🔗

Medium External URL 外部 URL

https://api.binance.com/api/v3/ticker/price?symbol=$

dynamic-adjust.js:45

File Tree

137 files · 662.8 KB · 22340 lines

JavaScript 74f · 13942L Markdown 39f · 7314L JSON 21f · 1007L Shell 3f · 77L

├─ ▾ 📁 snapshots

│ └─ 📋 2026-03-07.json JSON 10L · 190 B

├─ 📜 analyze-coins.js JavaScript 145L · 5.7 KB

├─ 📜 analyze-orders.js JavaScript 200L · 7.8 KB

├─ 📜 analyze-strategy.js JavaScript 214L · 7.2 KB

├─ 📜 apply-dynamic-grid.js JavaScript 101L · 3.8 KB

├─ 📜 apply-highfreq.js JavaScript 55L · 2.2 KB

├─ 📜 apply-scheme-a-final.js JavaScript 309L · 11.0 KB

├─ 📜 apply-scheme-a-v2.js JavaScript 281L · 10.2 KB

├─ 📜 apply-scheme-a.js JavaScript 262L · 9.5 KB

├─ 📜 auto-monitor.js JavaScript 290L · 10.2 KB

├─ 📜 bitget-cli.js JavaScript 168L · 4.8 KB

├─ 📜 buy-bnb-limit.js JavaScript 93L · 3.2 KB

├─ 📜 buy-bnb-market.js JavaScript 98L · 3.4 KB

├─ 📜 buy-eth-market.js JavaScript 82L · 2.8 KB

├─ 📜 cancel-all-btc.js JavaScript 135L · 4.8 KB

├─ 📜 cancel-all-orders.js JavaScript 137L · 4.3 KB

├─ 📜 cancel-all.js JavaScript 130L · 4.7 KB

├─ 📜 check-balance.js JavaScript 117L · 3.6 KB

├─ 📜 check-prices.js JavaScript 122L · 5.0 KB

├─ 📝 COIN_ANALYSIS_REPORT.md Markdown 241L · 5.9 KB

├─ 🔑 config.json ⚠ JSON 6L · 190 B

├─ 📋 conservative_deployment_report.json JSON 47L · 1.1 KB

├─ 📜 create-highfreq-config.js JavaScript 93L · 3.8 KB

├─ 📋 cron_config.json JSON 33L · 1.4 KB

├─ 📝 daily_report.md Markdown 31L · 490 B

├─ 📜 debug-orders.js JavaScript 117L · 4.3 KB

├─ 📝 DECISION_SUMMARY_2026-03-17_2236.md Markdown 137L · 3.1 KB

├─ 📜 deploy-bnb-grid.js JavaScript 127L · 4.4 KB

├─ 📜 deploy-bnb-new.js JavaScript 101L · 3.7 KB

├─ 📜 deploy-conservative.js JavaScript 293L · 9.3 KB

├─ 📜 deploy-dynamic-grid.js JavaScript 145L · 4.8 KB

├─ 📜 deploy-eth-buys.js JavaScript 92L · 3.1 KB

├─ 📜 deploy-eth-grid.js JavaScript 134L · 4.9 KB

├─ 📜 deploy-highfreq-grids.js JavaScript 325L · 10.6 KB

├─ 📜 deploy-sell-orders.js JavaScript 162L · 5.2 KB

├─ 📜 deploy-simple-grid.js JavaScript 206L · 6.7 KB

├─ 📜 deploy-ultra-grids-v2.js JavaScript 318L · 10.3 KB

├─ 📜 deploy-ultra-grids.js JavaScript 256L · 7.8 KB

├─ 📝 DEPLOYMENT_REPORT_2026-03-17_2138.md Markdown 197L · 4.2 KB

├─ 📋 dynamic_adjustments.json JSON 8L · 143 B

├─ 📝 DYNAMIC_STRATEGY_REPORT.md Markdown 280L · 6.2 KB

├─ 📜 dynamic-adjust-v2.js JavaScript 326L · 12.1 KB

├─ 📜 dynamic-adjust.js JavaScript 310L · 11.3 KB

├─ 📜 dynamic-rebalance.js JavaScript 295L · 9.3 KB

├─ 📝 ETH_GRID_REPORT.md Markdown 128L · 3.2 KB

├─ 📝 FINAL_DEPLOYMENT_2026-03-17_2220.md Markdown 339L · 7.0 KB

├─ 📝 GRID_DEPLOYMENT_SUCCESS_2026-03-17.md Markdown 137L · 3.5 KB

├─ 📝 GRID_OPTIMIZATION_REPORT_2026-03-17.md Markdown 142L · 3.9 KB

├─ 📝 GRID_OPTIMIZATION_REPORT.md Markdown 278L · 6.1 KB

├─ 📝 GRID_RESTARTED_2026-03-17.md Markdown 118L · 2.6 KB

├─ 📝 GRID_RESTORED_2026-03-17.md Markdown 99L · 2.1 KB

├─ 📋 grid_settings_adjusted.json JSON 58L · 1.7 KB

├─ 📋 grid_settings_conservative.json JSON 58L · 1.5 KB

├─ 📋 grid_settings_highfreq.json JSON 62L · 1.8 KB

├─ 📋 grid_settings_minimal.json JSON 58L · 1.4 KB

├─ 📋 grid_settings_optimized.json JSON 30L · 790 B

├─ 📋 grid_settings_standard.json JSON 58L · 1.4 KB

├─ 📋 grid_settings_ultra.json JSON 58L · 1.5 KB

├─ 📋 grid_settings.json JSON 55L · 1.3 KB

├─ 📝 GRID_STATUS_2026-03-17_2208.md Markdown 219L · 4.1 KB

├─ 📝 GRID_STATUS_REPORT.md Markdown 172L · 4.1 KB

├─ 📝 GRID_STOPPED_2026-03-17.md Markdown 84L · 1.9 KB

├─ 📜 grid-optimizer.js JavaScript 267L · 10.3 KB

├─ 📋 highfreq_deployment_report.json JSON 39L · 1.1 KB

├─ 📝 HIGHFREQ_SETUP_COMPLETE.md Markdown 189L · 4.3 KB

├─ 📜 kline-analyzer.js JavaScript 235L · 9.3 KB

├─ 📝 MANUAL_SETUP.md Markdown 159L · 3.0 KB

├─ 📋 monitor_state.json JSON 116L · 2.9 KB

├─ 🔧 monitor-cron.sh Shell 18L · 529 B

├─ 📜 monitor-fixed.js JavaScript 191L · 5.8 KB

├─ 📜 monitor-grid.js JavaScript 195L · 6.0 KB

├─ 🔧 monitor-wrapper.sh Shell 26L · 632 B

├─ 📋 multi_agent_config.json JSON 126L · 3.2 KB

├─ 📜 multi_agent_controller.js JavaScript 452L · 14.8 KB

├─ 📝 MULTI_AGENT_SETUP_GUIDE.md Markdown 369L · 7.5 KB

├─ 📝 MULTI_AGENT_TEST_REPORT_2026-03-17.md Markdown 318L · 7.0 KB

├─ 📝 multi_coin_analysis.md Markdown 118L · 2.9 KB

├─ 📝 NEW_COINS_ANALYSIS.md Markdown 137L · 3.0 KB

├─ 📝 OPTIMIZATION_REPORT.md Markdown 235L · 4.9 KB

├─ 📜 optimize-grids.js JavaScript 247L · 7.9 KB

├─ 📜 optimize-strategy.js JavaScript 178L · 6.7 KB

├─ 📝 QUANT_STRATEGY.md Markdown 252L · 5.4 KB

├─ 📝 QUANT_SYSTEM.md Markdown 243L · 5.0 KB

├─ 📜 quant-trader.js JavaScript 321L · 11.2 KB

├─ 📜 quick-report.js JavaScript 127L · 4.6 KB

├─ 📜 quick-start.js JavaScript 174L · 4.6 KB

├─ 📝 README.md Markdown 301L · 6.3 KB

├─ 📜 rebalance.js JavaScript 179L · 6.8 KB

├─ 📝 REDEPLOY_COMPLETE.md Markdown 157L · 4.0 KB

├─ 📝 REDEPLOY_REPORT_2026-03-17_2158.md Markdown 223L · 4.9 KB

├─ 📜 redeploy-coins.js JavaScript 292L · 9.4 KB

├─ 📜 restart-final.js JavaScript 261L · 8.4 KB

├─ 📜 restart-grids-fixed.js JavaScript 254L · 8.1 KB

├─ 📜 restart-grids.js JavaScript 191L · 6.1 KB

├─ 📝 RUNNING_STATUS.md Markdown 92L · 1.9 KB

├─ 📜 save-optimized-config.js JavaScript 55L · 1.4 KB

├─ 📝 SCHEME_A_MANUAL.md Markdown 180L · 3.9 KB

├─ 📋 scheme_a_result.json JSON 21L · 310 B

├─ 📜 sell-btc-market.js JavaScript 165L · 5.7 KB

├─ 📜 setup-cron-monitor.js JavaScript 90L · 3.4 KB

├─ 📜 setup-cron.js JavaScript 104L · 2.8 KB

├─ 📝 SKILL.md Markdown 277L · 6.9 KB

├─ 📋 smart_grid_state.json JSON 61L · 1.6 KB

├─ 📜 smart-grid.js JavaScript 625L · 20.9 KB

├─ 📜 start-avax-matic.js JavaScript 257L · 8.0 KB

├─ 📜 start-btc-grid.js JavaScript 246L · 7.6 KB

├─ 📜 start-eth-simple.js JavaScript 106L · 3.9 KB

├─ 📜 start-eth-v2.js JavaScript 106L · 3.9 KB

├─ 📜 start-eth-v3.js JavaScript 103L · 3.9 KB

├─ 📜 start-eth-v4.js JavaScript 103L · 3.9 KB

├─ 📜 start-eth-v5.js JavaScript 91L · 3.4 KB

├─ 📜 start-eth-xrp.js JavaScript 183L · 5.6 KB

├─ 📜 start-eth.js JavaScript 184L · 6.1 KB

├─ 📜 start-grids.js JavaScript 190L · 6.1 KB

├─ 📜 start-simple.js JavaScript 257L · 8.0 KB

├─ 📜 start-sol.js JavaScript 153L · 5.0 KB

├─ 📝 STARTUP_REPORT.md Markdown 60L · 1.2 KB

├─ 📝 STATUS_REPORT.md Markdown 159L · 3.5 KB

├─ 📝 STATUS_SUMMARY_2026-03-17_2230.md Markdown 243L · 4.7 KB

├─ 📋 status.json JSON 20L · 505 B

├─ 📜 stop-btc-grid.js JavaScript 125L · 4.2 KB

├─ 📝 strategy_report.md Markdown 229L · 5.1 KB

├─ 📝 STRATEGY_SUMMARY.md Markdown 148L · 3.2 KB

├─ 📋 strategy-summary.json JSON 36L · 758 B

├─ 🔧 test_multi_agent.sh Shell 33L · 913 B

├─ 📜 test-api-debug.js JavaScript 119L · 3.7 KB

├─ 📜 test-eth-grid.js JavaScript 147L · 5.0 KB

├─ 📜 test-grid-api.js JavaScript 127L · 4.1 KB

├─ 📜 test-klines.js JavaScript 51L · 1.6 KB

├─ 📜 test-order.js JavaScript 120L · 3.7 KB

├─ 📜 trade-analyzer.js JavaScript 308L · 10.6 KB

├─ 📝 TRADING_DECISION_2026-03-17_2235.md Markdown 228L · 5.7 KB

├─ 📝 trading_setup.md Markdown 176L · 4.1 KB

├─ 📋 ultra_deployment_report.json JSON 47L · 1.2 KB

├─ 📝 UNLIMITED_MODE.md Markdown 73L · 2.0 KB

├─ 📜 use-sdk.js JavaScript 124L · 3.9 KB

└─ 📝 启动报告_2026-03-10.md Markdown 146L · 3.3 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`node (运行时)`	`无需额外依赖`	系统	No	纯Node.js标准库实现

Security Positives

✓ 代码功能清晰，无混淆或隐藏的恶意行为

✓ 仅访问Bitget官方API(api.bitget.com)，无可疑外部通信

✓ 使用标准HTTPS和HMAC-SHA256签名进行API认证

✓ 包含风险警告和API权限建议(仅现货交易权限)

✓ 日志记录功能完善，便于审计

Scan Report

Findings 4 items

File Tree

Dependencies 1 items

Security Positives