Bitget Trader 安全扫描报告 — 高风险 | ClawSafe

65 /100

Bitget Trader

Bitget交易所网格交易机器人和量化策略管理系统

Bitget网格交易机器人代码本身非恶意，但SKILL.md文档末尾嵌入了真实的API密钥(明文secretKey+passphrase)，凭证已暴露需立即吊销

技能名称Bitget Trader

分析耗时50.1s

引擎pi

⛔

不要安装此技能

1. 立即吊销SKILL.md中暴露的Bitget API密钥 2. 将真实凭证从文档中移除 3. 建议使用环境变量或密钥管理服务存储敏感配置 4. 审查config.json是否也在版本控制中

安全发现 4 项

严重性	安全发现	位置
严重	SKILL.md嵌入了真实API凭证凭证窃取 SKILL.md文件末尾(约第270行)直接嵌入了Bitget交易所的真实API密钥，包括apiKey、secretKey和passphrase，攻击者可提取后完全控制交易所账户进行交易和提币 `"apiKey": "bg_73063f99df20ccf3320032e80d0bd1f3", "secretKey": "ecdc70207a6395da7772210d1c6c8bf1a88f47af83b24dec2aa066d91f495387", "passphrase": "Lin12345"` → 立即吊销该API密钥，使用环境变量或加密配置文件存储敏感信息	`SKILL.md:270`
高危	config.json存储明文密钥凭证窃取 config.json文件包含明文API密钥和密码，未经加密存储 `{"apiKey": "bg_73063f99df20ccf3320032e80d0bd1f3", "secretKey": "...", "passphrase": "Lin12345"}` → 使用加密配置文件或密钥管理服务，将config.json加入.gitignore	`config.json:1`
中危	凭证作为文档示例但实为真实密钥文档欺骗 SKILL.md将凭证嵌入在'保存到config.json'示例块中，但这些凭证是真实可用的，而非占位符 `Save to /Users/zongzi/.openclaw/workspace/bitget_data/config.json: {"apiKey": "bg_..."` → 文档应使用明确的占位符示例如'YOUR_API_KEY'，而非真实密钥	`SKILL.md:268`
低危	硬编码绝对路径泄露用户信息敏感访问多个脚本硬编码了用户目录路径/Users/zongzi/...，暴露了系统用户名 `/Users/zongzi/.openclaw/workspace/bitget_data/` → 使用相对路径或环境变量如$HOME/.openclaw/workspace/	`SKILL.md:14`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	所有脚本通过HTTPS访问api.bitget.com
文件系统	`NONE`	`READ`	✓ 一致	多个脚本读取config.json/grid_settings.json
命令执行	`NONE`	`READ`	✓ 一致	bitget-cli.js使用execSync执行node命令

10 项发现

🔗

中危外部 URL 外部 URL

https://api.bitget.com/api/v2/spot/market/tickers?symbol=SOLUSDT

GRID_STATUS_2026-03-17_2208.md:117

🔗

中危外部 URL 外部 URL

https://www.bitget.com

MANUAL_SETUP.md:26

🔗

中危外部 URL 外部 URL

https://api.bitget.com

MULTI_AGENT_SETUP_GUIDE.md:331

🔗

中危外部 URL 外部 URL

https://www.google.com

MULTI_AGENT_TEST_REPORT_2026-03-17.md:189

🔗

中危外部 URL 外部 URL

https://www.investopedia.com/

QUANT_SYSTEM.md:233

🔗

中危外部 URL 外部 URL

https://www.quantconnect.com/

QUANT_SYSTEM.md:234

🔗

中危外部 URL 外部 URL

http://127.0.0.1:7897

README.md:242

🔗

中危外部 URL 外部 URL

https://api.bitget.com$

dynamic-adjust-v2.js:14

🔗

中危外部 URL 外部 URL

https://api.binance.com/api/v3/klines?symbol=$

dynamic-adjust.js:16

🔗

中危外部 URL 外部 URL

https://api.binance.com/api/v3/ticker/price?symbol=$

dynamic-adjust.js:45

目录结构

137 文件 · 662.8 KB · 22340 行

JavaScript 74f · 13942L Markdown 39f · 7314L JSON 21f · 1007L Shell 3f · 77L

├─ ▾ 📁 snapshots

│ └─ 📋 2026-03-07.json JSON 10L · 190 B

├─ 📜 analyze-coins.js JavaScript 145L · 5.7 KB

├─ 📜 analyze-orders.js JavaScript 200L · 7.8 KB

├─ 📜 analyze-strategy.js JavaScript 214L · 7.2 KB

├─ 📜 apply-dynamic-grid.js JavaScript 101L · 3.8 KB

├─ 📜 apply-highfreq.js JavaScript 55L · 2.2 KB

├─ 📜 apply-scheme-a-final.js JavaScript 309L · 11.0 KB

├─ 📜 apply-scheme-a-v2.js JavaScript 281L · 10.2 KB

├─ 📜 apply-scheme-a.js JavaScript 262L · 9.5 KB

├─ 📜 auto-monitor.js JavaScript 290L · 10.2 KB

├─ 📜 bitget-cli.js JavaScript 168L · 4.8 KB

├─ 📜 buy-bnb-limit.js JavaScript 93L · 3.2 KB

├─ 📜 buy-bnb-market.js JavaScript 98L · 3.4 KB

├─ 📜 buy-eth-market.js JavaScript 82L · 2.8 KB

├─ 📜 cancel-all-btc.js JavaScript 135L · 4.8 KB

├─ 📜 cancel-all-orders.js JavaScript 137L · 4.3 KB

├─ 📜 cancel-all.js JavaScript 130L · 4.7 KB

├─ 📜 check-balance.js JavaScript 117L · 3.6 KB

├─ 📜 check-prices.js JavaScript 122L · 5.0 KB

├─ 📝 COIN_ANALYSIS_REPORT.md Markdown 241L · 5.9 KB

├─ 🔑 config.json ⚠ JSON 6L · 190 B

├─ 📋 conservative_deployment_report.json JSON 47L · 1.1 KB

├─ 📜 create-highfreq-config.js JavaScript 93L · 3.8 KB

├─ 📋 cron_config.json JSON 33L · 1.4 KB

├─ 📝 daily_report.md Markdown 31L · 490 B

├─ 📜 debug-orders.js JavaScript 117L · 4.3 KB

├─ 📝 DECISION_SUMMARY_2026-03-17_2236.md Markdown 137L · 3.1 KB

├─ 📜 deploy-bnb-grid.js JavaScript 127L · 4.4 KB

├─ 📜 deploy-bnb-new.js JavaScript 101L · 3.7 KB

├─ 📜 deploy-conservative.js JavaScript 293L · 9.3 KB

├─ 📜 deploy-dynamic-grid.js JavaScript 145L · 4.8 KB

├─ 📜 deploy-eth-buys.js JavaScript 92L · 3.1 KB

├─ 📜 deploy-eth-grid.js JavaScript 134L · 4.9 KB

├─ 📜 deploy-highfreq-grids.js JavaScript 325L · 10.6 KB

├─ 📜 deploy-sell-orders.js JavaScript 162L · 5.2 KB

├─ 📜 deploy-simple-grid.js JavaScript 206L · 6.7 KB

├─ 📜 deploy-ultra-grids-v2.js JavaScript 318L · 10.3 KB

├─ 📜 deploy-ultra-grids.js JavaScript 256L · 7.8 KB

├─ 📝 DEPLOYMENT_REPORT_2026-03-17_2138.md Markdown 197L · 4.2 KB

├─ 📋 dynamic_adjustments.json JSON 8L · 143 B

├─ 📝 DYNAMIC_STRATEGY_REPORT.md Markdown 280L · 6.2 KB

├─ 📜 dynamic-adjust-v2.js JavaScript 326L · 12.1 KB

├─ 📜 dynamic-adjust.js JavaScript 310L · 11.3 KB

├─ 📜 dynamic-rebalance.js JavaScript 295L · 9.3 KB

├─ 📝 ETH_GRID_REPORT.md Markdown 128L · 3.2 KB

├─ 📝 FINAL_DEPLOYMENT_2026-03-17_2220.md Markdown 339L · 7.0 KB

├─ 📝 GRID_DEPLOYMENT_SUCCESS_2026-03-17.md Markdown 137L · 3.5 KB

├─ 📝 GRID_OPTIMIZATION_REPORT_2026-03-17.md Markdown 142L · 3.9 KB

├─ 📝 GRID_OPTIMIZATION_REPORT.md Markdown 278L · 6.1 KB

├─ 📝 GRID_RESTARTED_2026-03-17.md Markdown 118L · 2.6 KB

├─ 📝 GRID_RESTORED_2026-03-17.md Markdown 99L · 2.1 KB

├─ 📋 grid_settings_adjusted.json JSON 58L · 1.7 KB

├─ 📋 grid_settings_conservative.json JSON 58L · 1.5 KB

├─ 📋 grid_settings_highfreq.json JSON 62L · 1.8 KB

├─ 📋 grid_settings_minimal.json JSON 58L · 1.4 KB

├─ 📋 grid_settings_optimized.json JSON 30L · 790 B

├─ 📋 grid_settings_standard.json JSON 58L · 1.4 KB

├─ 📋 grid_settings_ultra.json JSON 58L · 1.5 KB

├─ 📋 grid_settings.json JSON 55L · 1.3 KB

├─ 📝 GRID_STATUS_2026-03-17_2208.md Markdown 219L · 4.1 KB

├─ 📝 GRID_STATUS_REPORT.md Markdown 172L · 4.1 KB

├─ 📝 GRID_STOPPED_2026-03-17.md Markdown 84L · 1.9 KB

├─ 📜 grid-optimizer.js JavaScript 267L · 10.3 KB

├─ 📋 highfreq_deployment_report.json JSON 39L · 1.1 KB

├─ 📝 HIGHFREQ_SETUP_COMPLETE.md Markdown 189L · 4.3 KB

├─ 📜 kline-analyzer.js JavaScript 235L · 9.3 KB

├─ 📝 MANUAL_SETUP.md Markdown 159L · 3.0 KB

├─ 📋 monitor_state.json JSON 116L · 2.9 KB

├─ 🔧 monitor-cron.sh Shell 18L · 529 B

├─ 📜 monitor-fixed.js JavaScript 191L · 5.8 KB

├─ 📜 monitor-grid.js JavaScript 195L · 6.0 KB

├─ 🔧 monitor-wrapper.sh Shell 26L · 632 B

├─ 📋 multi_agent_config.json JSON 126L · 3.2 KB

├─ 📜 multi_agent_controller.js JavaScript 452L · 14.8 KB

├─ 📝 MULTI_AGENT_SETUP_GUIDE.md Markdown 369L · 7.5 KB

├─ 📝 MULTI_AGENT_TEST_REPORT_2026-03-17.md Markdown 318L · 7.0 KB

├─ 📝 multi_coin_analysis.md Markdown 118L · 2.9 KB

├─ 📝 NEW_COINS_ANALYSIS.md Markdown 137L · 3.0 KB

├─ 📝 OPTIMIZATION_REPORT.md Markdown 235L · 4.9 KB

├─ 📜 optimize-grids.js JavaScript 247L · 7.9 KB

├─ 📜 optimize-strategy.js JavaScript 178L · 6.7 KB

├─ 📝 QUANT_STRATEGY.md Markdown 252L · 5.4 KB

├─ 📝 QUANT_SYSTEM.md Markdown 243L · 5.0 KB

├─ 📜 quant-trader.js JavaScript 321L · 11.2 KB

├─ 📜 quick-report.js JavaScript 127L · 4.6 KB

├─ 📜 quick-start.js JavaScript 174L · 4.6 KB

├─ 📝 README.md Markdown 301L · 6.3 KB

├─ 📜 rebalance.js JavaScript 179L · 6.8 KB

├─ 📝 REDEPLOY_COMPLETE.md Markdown 157L · 4.0 KB

├─ 📝 REDEPLOY_REPORT_2026-03-17_2158.md Markdown 223L · 4.9 KB

├─ 📜 redeploy-coins.js JavaScript 292L · 9.4 KB

├─ 📜 restart-final.js JavaScript 261L · 8.4 KB

├─ 📜 restart-grids-fixed.js JavaScript 254L · 8.1 KB

├─ 📜 restart-grids.js JavaScript 191L · 6.1 KB

├─ 📝 RUNNING_STATUS.md Markdown 92L · 1.9 KB

├─ 📜 save-optimized-config.js JavaScript 55L · 1.4 KB

├─ 📝 SCHEME_A_MANUAL.md Markdown 180L · 3.9 KB

├─ 📋 scheme_a_result.json JSON 21L · 310 B

├─ 📜 sell-btc-market.js JavaScript 165L · 5.7 KB

├─ 📜 setup-cron-monitor.js JavaScript 90L · 3.4 KB

├─ 📜 setup-cron.js JavaScript 104L · 2.8 KB

├─ 📝 SKILL.md Markdown 277L · 6.9 KB

├─ 📋 smart_grid_state.json JSON 61L · 1.6 KB

├─ 📜 smart-grid.js JavaScript 625L · 20.9 KB

├─ 📜 start-avax-matic.js JavaScript 257L · 8.0 KB

├─ 📜 start-btc-grid.js JavaScript 246L · 7.6 KB

├─ 📜 start-eth-simple.js JavaScript 106L · 3.9 KB

├─ 📜 start-eth-v2.js JavaScript 106L · 3.9 KB

├─ 📜 start-eth-v3.js JavaScript 103L · 3.9 KB

├─ 📜 start-eth-v4.js JavaScript 103L · 3.9 KB

├─ 📜 start-eth-v5.js JavaScript 91L · 3.4 KB

├─ 📜 start-eth-xrp.js JavaScript 183L · 5.6 KB

├─ 📜 start-eth.js JavaScript 184L · 6.1 KB

├─ 📜 start-grids.js JavaScript 190L · 6.1 KB

├─ 📜 start-simple.js JavaScript 257L · 8.0 KB

├─ 📜 start-sol.js JavaScript 153L · 5.0 KB

├─ 📝 STARTUP_REPORT.md Markdown 60L · 1.2 KB

├─ 📝 STATUS_REPORT.md Markdown 159L · 3.5 KB

├─ 📝 STATUS_SUMMARY_2026-03-17_2230.md Markdown 243L · 4.7 KB

├─ 📋 status.json JSON 20L · 505 B

├─ 📜 stop-btc-grid.js JavaScript 125L · 4.2 KB

├─ 📝 strategy_report.md Markdown 229L · 5.1 KB

├─ 📝 STRATEGY_SUMMARY.md Markdown 148L · 3.2 KB

├─ 📋 strategy-summary.json JSON 36L · 758 B

├─ 🔧 test_multi_agent.sh Shell 33L · 913 B

├─ 📜 test-api-debug.js JavaScript 119L · 3.7 KB

├─ 📜 test-eth-grid.js JavaScript 147L · 5.0 KB

├─ 📜 test-grid-api.js JavaScript 127L · 4.1 KB

├─ 📜 test-klines.js JavaScript 51L · 1.6 KB

├─ 📜 test-order.js JavaScript 120L · 3.7 KB

├─ 📜 trade-analyzer.js JavaScript 308L · 10.6 KB

├─ 📝 TRADING_DECISION_2026-03-17_2235.md Markdown 228L · 5.7 KB

├─ 📝 trading_setup.md Markdown 176L · 4.1 KB

├─ 📋 ultra_deployment_report.json JSON 47L · 1.2 KB

├─ 📝 UNLIMITED_MODE.md Markdown 73L · 2.0 KB

├─ 📜 use-sdk.js JavaScript 124L · 3.9 KB

└─ 📝 启动报告_2026-03-10.md Markdown 146L · 3.3 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`node (运行时)`	`无需额外依赖`	系统	否	纯Node.js标准库实现

安全亮点

✓ 代码功能清晰，无混淆或隐藏的恶意行为

✓ 仅访问Bitget官方API(api.bitget.com)，无可疑外部通信

✓ 使用标准HTTPS和HMAC-SHA256签名进行API认证

✓ 包含风险警告和API权限建议(仅现货交易权限)

✓ 日志记录功能完善，便于审计