中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
stock-earnings-review
东方财富业绩点评工具,面向沪深京港美上市公司生成财报分析
东方财富业绩点评工具,代码干净,无越权行为,API密钥通过环境变量读取且文档明确禁止硬编码,属正常业务技能。
技能名称stock-earnings-review
分析耗时34.3s
引擎pi
可以安装
可安全使用。建议关注 httpx 无版本锁定的依赖风险(低危)。

安全发现 2 项

严重性 安全发现 位置
低危
httpx 依赖无版本锁定
SKILL.md 中安装依赖仅写 `pip3 install httpx`,未声明版本号,可能拉取有已知漏洞的旧版本 httpx。
pip3 install httpx --user
→ 建议改为 `pip3 install httpx>=0.27.0 --user`,锁定安全版本
 SKILL.md:97
提示
文档示例占位符非实际硬编码
预扫描标记 SKILL.md:79 的 API_KEY place holder,但这是文档示例,非代码中的真实密钥,仅为文档说明,不构成风险。
export EM_API_KEY="your_api_key_here"
→ 无需处理,属正常文档示例
 SKILL.md:79
资源类型声明权限推断权限状态证据
环境变量 READ READ ✓ 一致 scripts/common.py:51 EM_API_KEY = os.environ.get("EM_API_KEY", "")
网络访问 READ READ ✓ 一致 scripts/common.py:11-13 三个 eastmoney.com API
文件系统 WRITE WRITE ✓ 一致 scripts/common.py:119 base64.b64decode + write_bytes 写本地附件
1 高危 4 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here"
SKILL.md:79
🔗
中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com/proxy/entity/dialogTagsV2
scripts/common.py:11
🔗
中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/choice/reportList
scripts/common.py:12
🔗
中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/performance/comment
scripts/common.py:13

目录结构

6 文件 · 34.9 KB · 905 行
Python 4f · 557L Markdown 2f · 348L
├─ 📁 scripts
│ ├─ 🐍 call_review_api.py Python 128L · 4.3 KB
│ ├─ 🐍 common.py Python 218L · 6.9 KB
│ ├─ 🐍 normalize_report_period.py Python 132L · 4.5 KB
│ └─ 🐍 validate_entity.py Python 79L · 2.6 KB
├─ 📝 BUSINESS_LOGIC.md Markdown 138L · 7.5 KB
└─ 📝 SKILL.md Markdown 210L · 9.2 KB

依赖分析 1 项

包名版本来源已知漏洞备注
httpx * pip 无版本锁定,建议指定最低版本

安全亮点

✓ 文档明确禁止硬编码凭证("禁止在代码、提示词、日志或输出中硬编码或明文暴露密钥")
✓ API密钥仅通过 os.environ 读取,无硬编码
✓ 无 shell/subprocess/exec/eval 等危险操作
✓ 所有网络请求均为 eastmoney.com 域名,无隐蔽境外通信
✓ base64 解码仅用于保存接口返回的 PDF/Word 附件,用途明确
✓ 无环境变量遍历收割、无敏感路径访问(~/.ssh/.aws/.env 均未触及)
✓ verify=False 跳过 HTTPS 证书验证(httpx),但仅用于对接东方财富内部接口,非攻击行为