Scan Report
5 /100
stock-earnings-review
东方财富业绩点评工具,面向沪深京港美上市公司生成财报分析
东方财富业绩点评工具,代码干净,无越权行为,API密钥通过环境变量读取且文档明确禁止硬编码,属正常业务技能。
Safe to install
可安全使用。建议关注 httpx 无版本锁定的依赖风险(低危)。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | httpx 依赖无版本锁定 | SKILL.md:97 |
| Info | 文档示例占位符非实际硬编码 | SKILL.md:79 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Environment | READ | READ | ✓ Aligned | scripts/common.py:51 EM_API_KEY = os.environ.get("EM_API_KEY", "") |
| Network | READ | READ | ✓ Aligned | scripts/common.py:11-13 三个 eastmoney.com API |
| Filesystem | WRITE | WRITE | ✓ Aligned | scripts/common.py:119 base64.b64decode + write_bytes 写本地附件 |
1 High 4 findings
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:79 Medium External URL 外部 URL
https://ai-saas.eastmoney.com/proxy/entity/dialogTagsV2 scripts/common.py:11 Medium External URL 外部 URL
https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/choice/reportList scripts/common.py:12 Medium External URL 外部 URL
https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/performance/comment scripts/common.py:13 File Tree
6 files · 34.9 KB · 905 lines Python 4f · 557L
Markdown 2f · 348L
├─
▾
scripts
│ ├─
call_review_api.py
Python
│ ├─
common.py
Python
│ ├─
normalize_report_period.py
Python
│ └─
validate_entity.py
Python
├─
BUSINESS_LOGIC.md
Markdown
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
httpx | * | pip | No | 无版本锁定,建议指定最低版本 |
Security Positives
✓ 文档明确禁止硬编码凭证("禁止在代码、提示词、日志或输出中硬编码或明文暴露密钥")
✓ API密钥仅通过 os.environ 读取,无硬编码
✓ 无 shell/subprocess/exec/eval 等危险操作
✓ 所有网络请求均为 eastmoney.com 域名,无隐蔽境外通信
✓ base64 解码仅用于保存接口返回的 PDF/Word 附件,用途明确
✓ 无环境变量遍历收割、无敏感路径访问(~/.ssh/.aws/.env 均未触及)
✓ verify=False 跳过 HTTPS 证书验证(httpx),但仅用于对接东方财富内部接口,非攻击行为