扫描报告
20 /100
storyclaw-alpaca-trading
US stock and crypto trading via Alpaca API. Paper trading (simulated) and real trading supported. Real-time quotes, orders, positions, RSI strategy.
这是一个合法的 Alpaca API 交易工具,代码功能与交易目的相符,无恶意行为或数据外泄迹象。存在文档与实现的轻微不一致,但不影响安全性。
可以安装
可安全使用。建议补充文档以说明全部脚本功能,并明确文件系统操作用途。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 策略脚本未在文档中声明 文档欺骗 | scripts/aggressive-strategy.js, scripts/momentum-strategy.js:1 |
| 低危 | 文件系统操作未在文档中明确说明 文档欺骗 | scripts/config-loader.js:28 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | READ | ✓ 一致 | config-loader.js:28-32 读取 credentials/{USER_ID}.json |
| 文件系统 | NONE | WRITE | ✓ 一致 | config-loader.js:47-49 创建 state/ 目录 |
| 网络访问 | WRITE | WRITE | ✓ 一致 | trading.js:60-89 POST /v2/orders 交易下单 |
| 网络访问 | READ | READ | ✓ 一致 | trading.js:91-125 GET 请求查询账户、持仓、行情 |
| 命令执行 | NONE | WRITE | ✓ 一致 | aggressive-strategy.js:11-16 使用 execSync 执行 node trading.js 命令 |
4 项发现
中危 外部 URL 外部 URL
https://paper-api.alpaca.markets SKILL.md:35 中危 外部 URL 外部 URL
https://data.alpaca.markets SKILL.md:36 中危 外部 URL 外部 URL
https://api.alpaca.markets SKILL.md:40 中危 外部 URL 外部 URL
https://app.alpaca.markets/brokerage/new-account SKILL.md:96 目录结构
7 文件 · 34.8 KB · 1154 行 JavaScript 4f · 1037L
Markdown 1f · 105L
JSON 2f · 12L
├─
▾
credentials
│ └─
example.json
JSON
├─
▾
scripts
│ ├─
aggressive-strategy.js
JavaScript
│ ├─
config-loader.js
JavaScript
│ ├─
momentum-strategy.js
JavaScript
│ └─
trading.js
JavaScript
├─
config.example.json
JSON
└─
SKILL.md
Markdown
安全亮点
✓ 无凭证外泄行为 - 凭证仅用于 Alpaca API 认证
✓ 无远程代码执行 - 仅使用 HTTPS 调用官方 API
✓ 无数据外泄 - 所有数据操作均为本地或官方 API
✓ 代码结构清晰 - 交易逻辑清晰可见
✓ 使用 HTTPS 加密通信
✓ 凭证读取有环境变量回退机制