中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
vantage
Hyperliquid 永续合约自主交易机器人,信号引擎 + Kelly 仓位计算 + EIP-712 订单执行
Vantage 是一个合法的 Hyperliquid 永续合约自主交易机器人,代码结构清晰,无任何恶意行为发现,声明能力与实际行为完全一致。
技能名称vantage
分析耗时40.8s
引擎pi
ClawHub Vantage — HL Autonomous Trading Agent v1.0.0 by morebetterclaw
📥 155
ClawHub 判定 可疑 env_credential_accessllm_suspiciouspotential_exfiltration
可以安装
可直接使用。建议通过 .env.example 配置密钥,始终在 --paper 模式下首次运行验证。
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 dotenv/config loading, paper-trades.json read/write
网络访问 READ READ ✓ 一致 所有请求均为 HTTPS GET/POST 到已知 DeFi 公开 API(Hyperliquid、CoinGecko、THORChain)
环境变量 READ READ ✓ 一致 process.env 仅读取 .env 中的配置变量(私钥仅用于 ethers 签名,从不外传)
命令执行 NONE NONE 代码中无 child_process/exec/spawn 调用
19 项发现
🔗
中危 外部 URL 外部 URL
https://ollama.com
README.md:212
🔗
中危 外部 URL 外部 URL
https://morebetterstudios.com/products
SKILL.md:17
🔗
中危 外部 URL 外部 URL
https://paulmillr.com/funding/
package-lock.json:41
🔗
中危 外部 URL 外部 URL
https://dotenvx.com
package-lock.json:131
🔗
中危 外部 URL 外部 URL
https://www.buymeacoffee.com/ricmoo
package-lock.json:204
💰
中危 钱包地址 加密货币钱包地址
0xa0b86991c6218b36c1d19d4a2e9eb0ce3606eb48
skills/thorchain-routing/SKILL.md:12
🔗
中危 外部 URL 外部 URL
https://thornode.ninerealms.com
skills/thorchain-routing/index.js:12
🔗
中危 外部 URL 外部 URL
https://midgard.ninerealms.com/v2
skills/thorchain-routing/index.js:13
🔗
中危 外部 URL 外部 URL
https://hyperliquid.gitbook.io/hyperliquid-docs/for-developers/api/info-endpoint
src/hyperliquid.js:5
🔗
中危 外部 URL 外部 URL
https://api.hyperliquid.xyz/info
src/hyperliquid.js:14
🔗
中危 外部 URL 外部 URL
https://api.coingecko.com/api/v3/simple/price?ids=thorchain&vs_currencies=usd&include_24hr_change=true&include_24hr_vol=...
src/research.js:22
🔗
中危 外部 URL 外部 URL
https://thornode.ninerealms.com/thorchain/network
src/research.js:30
🔗
中危 外部 URL 外部 URL
https://midgard.ninerealms.com/v2/pools?status=Available&order=volume24h&limit=$
src/research.js:37
🔗
中危 外部 URL 外部 URL
https://api.coingecko.com/api/v3/simple/price?ids=thorchain&vs_currencies=usd
src/setup-check.js:168
🔗
中危 外部 URL 外部 URL
https://midgard.ninerealms.com/v2/stats
src/setup-check.js:175
🔗
中危 外部 URL 外部 URL
https://midgard.ninerealms.com
src/signals.js:25
🔗
中危 外部 URL 外部 URL
https://api.coingecko.com/api/v3
src/signals.js:27
🔗
中危 外部 URL 外部 URL
https://api.hyperliquid.xyz/exchange
src/trader.js:22
💰
中危 钱包地址 加密货币钱包地址
0x0000000000000000000000000000000000000000
src/trader.js:127

目录结构

16 文件 · 114.2 KB · 3239 行
JavaScript 9f · 2357L JSON 3f · 444L Markdown 4f · 438L
├─ 📁 skills
│ ├─ 📁 thorchain-routing
│ │ ├─ 📜 index.js JavaScript 207L · 7.5 KB
│ │ ├─ 📋 package.json JSON 19L · 647 B
│ │ └─ 📝 SKILL.md Markdown 34L · 1.1 KB
│ └─ 📁 vantage
│ └─ 📝 SKILL.md Markdown 96L · 2.8 KB
├─ 📁 src
│ ├─ 📜 hyperliquid.js JavaScript 177L · 5.4 KB
│ ├─ 📜 index.js JavaScript 592L · 23.4 KB
│ ├─ 📜 research.js JavaScript 274L · 9.5 KB
│ ├─ 📜 setup-check.js JavaScript 278L · 12.1 KB
│ ├─ 📜 signals.js JavaScript 351L · 12.1 KB
│ ├─ 📜 sizing.js JavaScript 54L · 2.1 KB
│ ├─ 📜 thorchain.js JavaScript 77L · 2.2 KB
│ └─ 📜 trader.js JavaScript 347L · 11.2 KB
├─ 📋 package-lock.json JSON 424L · 14.6 KB
├─ 📋 package.json JSON 1L · 322 B
├─ 📝 README.md Markdown 212L · 6.5 KB
└─ 📝 SKILL.md Markdown 96L · 2.8 KB

依赖分析 4 项

包名版本来源已知漏洞备注
ethers ^6.16.0 npm 标准加密库,用于 EIP-712 签名
axios ^1.6.0 npm HTTP 客户端,用于 DeFi API 调用
dotenv ^16.0.0 npm .env 配置加载
@msgpack/msgpack ^3.1.3 npm Hyperliquid action 序列化

安全亮点

✓ 私钥使用符合安全最佳实践:仅通过 ethers 进行 EIP-712 本地签名,从不外传
✓ 错误消息中对私钥做了脱敏处理(belt-and-suspenders)
✓ 无 subprocess/eval/Base64 解码等可疑模式
✓ 所有外部 API 均为合法 DeFi 协议公开端点,无裸 IP 连接
✓ 代码完全自包含,无远程脚本拉取
✓ paper 模式强制无私钥运行,防止误操作
✓ 配置文件加载使用标准 dotenv,.env 默认在 .gitignore 中
✓ 无供应链恶意依赖(ethers、axios、@msgpack/msgpack 均为知名库)
✓ 声明功能与实际代码行为完全一致,无阴影功能