中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 20/100
Last scan:2 days ago Rescan
20 /100
initiation_of_coverage_or_deep_dive
依托东方财富数据库,生成上市公司首次覆盖报告或深度研究报告
EastMoney 上市公司研究报告生成技能,功能正常,未发现明确恶意行为,存在轻微文档缺失问题。
Skill Nameinitiation_of_coverage_or_deep_dive
Duration45.8s
Enginepi
Safe to install
可正常使用。建议补充 MX_SAAS_BASE_URL 环境变量的文档说明。

Findings 4 items

Severity Finding Location
Low
未声明的 MX_SAAS_BASE_URL 环境变量
代码中读取 MX_SAAS_BASE_URL 环境变量用于自定义 API 端点,但 SKILL.md 文档中未声明此变量。
BASE_URL = os.environ.get("MX_SAAS_BASE_URL", "https://ai-saas.eastmoney.com")
→ 建议在 SKILL.md 环境变量表格中添加 MX_SAAS_BASE_URL 的说明。
 scripts/generate_deep_research_report.py:52
Info
API端点可配置性
BASE_URL 默认指向 eastmoney.com 但可被 MX_SAAS_BASE_URL 环境变量覆盖。虽然这是合法的配置灵活性,但可能被恶意用于将 API key 发送到非预期服务器。
BASE_URL = os.environ.get("MX_SAAS_BASE_URL", "https://ai-saas.eastmoney.com")
→ 考虑添加端点白名单验证,或在 SKILL.md 中明确说明该变量的合法用途和风险。
 scripts/generate_deep_research_report.py:52
Info
API Key 通过 HTTP Header 传输
EM_API_KEY 通过 HTTP header (em_api_key) 发送到外部服务器,这是标准 API 认证方式,不属于凭证收割。
"em_api_key": EM_API_KEY
→ 无需修改,这是正常的 API 调用模式。
 scripts/generate_deep_research_report.py:89
Info
Base64 解码文件写入
脚本将 API 返回的 base64 编码 PDF/Word 文件解码后写入本地文件系统,路径使用 uuid 生成,不存在明显的路径遍历风险。
raw = base64.b64decode(b64_str)
file_path.write_bytes(raw)
→ 无需修改,文件写入是报告生成功能的必要部分。
 scripts/generate_deep_research_report.py:65
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned SKILL.md:23 声明写入附件目录,scripts/generate_deep_research_report.py:97-109 实现 base64 解…
Environment READ READ ✓ Aligned SKILL.md:9 声明读取 EM_API_KEY,scripts/generate_deep_research_report.py:55-56 读取 EM_…
Network READ READ ✓ Aligned SKILL.md 声明调用 eastmoney.com,scripts/generate_deep_research_report.py:52-53 允许 MX…
1 High 2 findings
🔑
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here"
SKILL.md:47
🔗
Medium External URL 外部 URL
https://ai-saas.eastmoney.com
scripts/generate_deep_research_report.py:72

File Tree

3 files · 16.4 KB · 400 lines
Python 1f · 220L Markdown 1f · 175L JSON 1f · 5L
├─ 📁 scripts
│ └─ 🐍 generate_deep_research_report.py Python 220L · 9.8 KB
├─ 📋 _meta.json JSON 5L · 154 B
└─ 📝 SKILL.md Markdown 175L · 6.4 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
httpx * pip No 无版本锁定,但 httpx 库本身安全性良好

Security Positives

✓ 代码逻辑清晰,无混淆或混淆的字符串
✓ 无 base64|bash 管道、裸 IP 请求、eval(atob(...)) 等高危模式
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 无外部数据外传行为
✓ 依赖简洁,仅使用 httpx 库
✓ API 凭证仅发送到声明的 eastmoney.com(默认情况)