crypto-safe-portfolio-analyzer-pro 安全扫描报告 — 可信 | ClawSafe

5 /100

crypto-safe-portfolio-analyzer-pro

Safe cryptocurrency portfolio tracking and P&L analysis

合法的加密货币组合追踪和分析工具，代码质量良好，无恶意行为或敏感操作

技能名称crypto-safe-portfolio-analyzer-pro

分析耗时38.2s

引擎pi

✓

可以安装

无需采取行动，可安全使用。如需改进，建议在 SKILL.md 中明确声明 network:READ 权限，并将 requests 依赖版本锁定

安全发现 2 项

严重性	安全发现	位置
低危	requests 依赖无版本锁定供应链 portfolio-analyzer.py 使用 requests 库但未指定版本，可能存在供应链风险 `import requests` → 建议在代码注释或文档中注明 requests 版本要求	`scripts/portfolio-analyzer.py:7`
提示	权限声明不够明确文档欺骗 SKILL.md 未声明需要的 allowed-tools 权限 `---` → 建议添加 allowed-tools 声明：Read→filesystem:READ, WebFetch/Bash→network:READ	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
网络访问	`NONE`	`READ`	✓ 一致	scripts/portfolio-analyzer.py:66 scripts/portfolio-tracker.js:47,56,70 调用外部 API
文件系统	`NONE`	`READ`	✓ 一致	scripts/portfolio-analyzer.py:35-38 读取配置文件

5 项发现

💰

中危钱包地址加密货币钱包地址

0x742d35Cc6634C0532925a3b844Bc9e7595f0eB1E

references/usage-examples.md:11

🔗

中危外部 URL 外部 URL

https://api.coingecko.com/api/v3/simple/price?ids=

scripts/portfolio-analyzer.py:66

🔗

中危外部 URL 外部 URL

https://api.coingecko.com/api/v3/coins/markets?vs_currency=usd&ids=$

scripts/portfolio-tracker.js:47

🔗

中危外部 URL 外部 URL

https://api.alternative.me/fng/?limit=1

scripts/portfolio-tracker.js:56

🔗

中危外部 URL 外部 URL

https://api.coinbase.com/v2/prices/$

scripts/portfolio-tracker.js:70

目录结构

5 文件 · 32.4 KB · 992 行

Markdown 2f · 423L Python 1f · 273L JavaScript 1f · 257L JSON 1f · 39L

├─ ▾ 📁 references

│ ├─ 📋 config-example.json JSON 39L · 1.0 KB

│ └─ 📝 usage-examples.md Markdown 171L · 3.8 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 portfolio-analyzer.py Python 273L · 10.5 KB

│ └─ 📜 portfolio-tracker.js JavaScript 257L · 9.8 KB

└─ 📝 SKILL.md Markdown 252L · 7.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议指定版本

安全亮点

✓ 代码结构清晰，无混淆或反分析技术

✓ 所有外部网络请求都是已知的公开加密货币 API（CoinGecko、alternative.me、Coinbase）

✓ 无隐藏功能或阴影操作

✓ 文档与实际行为高度一致

✓ 包含完善的错误处理和超时机制

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ JavaScript 脚本完全使用 Node.js 标准库，无第三方依赖