Scan Report
This report was generated in Chinese. Some content may be in Chinese.
20 /100
storyclaw-alpaca-trading
US stock and crypto trading via Alpaca API. Paper trading (simulated) and real trading supported. Real-time quotes, orders, positions, RSI strategy.
这是一个合法的 Alpaca API 交易工具,代码功能与交易目的相符,无恶意行为或数据外泄迹象。存在文档与实现的轻微不一致,但不影响安全性。
Safe to install
可安全使用。建议补充文档以说明全部脚本功能,并明确文件系统操作用途。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | 策略脚本未在文档中声明 Doc Mismatch | scripts/aggressive-strategy.js, scripts/momentum-strategy.js:1 |
| Low | 文件系统操作未在文档中明确说明 Doc Mismatch | scripts/config-loader.js:28 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | READ | ✓ Aligned | config-loader.js:28-32 读取 credentials/{USER_ID}.json |
| Filesystem | NONE | WRITE | ✓ Aligned | config-loader.js:47-49 创建 state/ 目录 |
| Network | WRITE | WRITE | ✓ Aligned | trading.js:60-89 POST /v2/orders 交易下单 |
| Network | READ | READ | ✓ Aligned | trading.js:91-125 GET 请求查询账户、持仓、行情 |
| Shell | NONE | WRITE | ✓ Aligned | aggressive-strategy.js:11-16 使用 execSync 执行 node trading.js 命令 |
4 findings
Medium External URL 外部 URL
https://paper-api.alpaca.markets SKILL.md:35 Medium External URL 外部 URL
https://data.alpaca.markets SKILL.md:36 Medium External URL 外部 URL
https://api.alpaca.markets SKILL.md:40 Medium External URL 外部 URL
https://app.alpaca.markets/brokerage/new-account SKILL.md:96 File Tree
7 files · 34.8 KB · 1154 lines JavaScript 4f · 1037L
Markdown 1f · 105L
JSON 2f · 12L
├─
▾
credentials
│ └─
example.json
JSON
├─
▾
scripts
│ ├─
aggressive-strategy.js
JavaScript
│ ├─
config-loader.js
JavaScript
│ ├─
momentum-strategy.js
JavaScript
│ └─
trading.js
JavaScript
├─
config.example.json
JSON
└─
SKILL.md
Markdown
Security Positives
✓ 无凭证外泄行为 - 凭证仅用于 Alpaca API 认证
✓ 无远程代码执行 - 仅使用 HTTPS 调用官方 API
✓ 无数据外泄 - 所有数据操作均为本地或官方 API
✓ 代码结构清晰 - 交易逻辑清晰可见
✓ 使用 HTTPS 加密通信
✓ 凭证读取有环境变量回退机制