扫描报告
20 /100
initiation_of_coverage_or_deep_dive
依托东方财富数据库,生成上市公司首次覆盖报告或深度研究报告
EastMoney 上市公司研究报告生成技能,功能正常,未发现明确恶意行为,存在轻微文档缺失问题。
可以安装
可正常使用。建议补充 MX_SAAS_BASE_URL 环境变量的文档说明。
安全发现 4 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 未声明的 MX_SAAS_BASE_URL 环境变量 | scripts/generate_deep_research_report.py:52 |
| 提示 | API端点可配置性 | scripts/generate_deep_research_report.py:52 |
| 提示 | API Key 通过 HTTP Header 传输 | scripts/generate_deep_research_report.py:89 |
| 提示 | Base64 解码文件写入 | scripts/generate_deep_research_report.py:65 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md:23 声明写入附件目录,scripts/generate_deep_research_report.py:97-109 实现 base64 解… |
| 环境变量 | READ | READ | ✓ 一致 | SKILL.md:9 声明读取 EM_API_KEY,scripts/generate_deep_research_report.py:55-56 读取 EM_… |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md 声明调用 eastmoney.com,scripts/generate_deep_research_report.py:52-53 允许 MX… |
1 高危 2 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:47 中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com scripts/generate_deep_research_report.py:72 目录结构
3 文件 · 16.4 KB · 400 行 Python 1f · 220L
Markdown 1f · 175L
JSON 1f · 5L
├─
▾
scripts
│ └─
generate_deep_research_report.py
Python
├─
_meta.json
JSON
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
httpx | * | pip | 否 | 无版本锁定,但 httpx 库本身安全性良好 |
安全亮点
✓ 代码逻辑清晰,无混淆或混淆的字符串
✓ 无 base64|bash 管道、裸 IP 请求、eval(atob(...)) 等高危模式
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 无外部数据外传行为
✓ 依赖简洁,仅使用 httpx 库
✓ API 凭证仅发送到声明的 eastmoney.com(默认情况)