industry_stock_tracker Security Report — Trusted | ClawSafe

5 /100

industry_stock_tracker

依托东方财富数据库，面向行业或个股，产出跟踪类报告（含日报/周报/月报、研报及结构化跟踪解读）

该技能为合法的行业/个股跟踪报告生成工具，代码功能与文档描述基本一致，未发现恶意行为。存在轻微瑕疵（文档未明确声明文件写入能力、SKILL.md含占位符API_KEY示例），但不影响安全性。

Skill Nameindustry_stock_tracker

Duration37.9s

Enginepi

✓

Safe to install

可直接使用。建议在文档中明确声明附件文件写入能力，并将 SKILL.md 中的占位符示例改为更明显的占位符格式（如 <YOUR_API_KEY>）。

Findings 2 items

Severity	Finding	Location
Info	SKILL.md 中存在占位符 API_KEY 示例 SKILL.md:34 显示 `API_KEY="your_api_key_here"`，但这只是文档中的占位符示例，实际不会在代码中使用非真实凭证。经代码审查确认，脚本只从环境变量读取 EM_API_KEY，不会使用此占位符。 `API_KEY="your_api_key_here"` → 将占位符改为更明显的格式，如 `<YOUR_API_KEY>` 或 `# 请替换为您的实际密钥`	`SKILL.md:34`
Low	文件系统 WRITE 能力未在 SKILL.md 中明确声明代码在 _decode_attachment_base64 函数中会将 API 返回的 base64 编码附件解码并写入磁盘（默认目录 miaoxiang/industry_stock_tracker/），但 SKILL.md 的 allowed-tools 声明中未包含 Write 操作，存在轻微的文档-行为差异。 `with open(file_path, "wb") as f: f.write(raw)` → 在 SKILL.md 中补充说明：脚本会将报告附件（PDF/DOCX）保存到本地文件系统	`scripts/generate_industry_stock_tracker_report.py:146`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	scripts/generate_industry_stock_tracker_report.py:146 创建输出目录 + 写入 base64 解码后的 PD…
Network	`READ`	`READ`	✓ Aligned	scripts/generate_industry_stock_tracker_report.py:60-77 发起 POST 请求调用外部报告服务
Environment	`READ`	`READ`	✓ Aligned	scripts/generate_industry_stock_tracker_report.py:34 仅读取 EM_API_KEY 用于 API 鉴权
Shell	`NONE`	`NONE`	—	无 subprocess 或 shell 执行代码

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:34

🔗

Medium External URL 外部 URL

https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/tracking/report

scripts/generate_industry_stock_tracker_report.py:32

2 files · 13.1 KB · 386 lines

Python 1f · 270L Markdown 1f · 116L

├─ ▾ 📁 scripts

│ └─ 🐍 generate_industry_stock_tracker_report.py Python 270L · 8.7 KB

└─ 📝 SKILL.md Markdown 116L · 4.4 KB

Package	Version	Source	Known Vulns	Notes
`无外部依赖`	`N/A`	Python 标准库	No	仅使用 argparse, base64, json, os, socket, urllib, uuid, re, pathlib, typing 等标准库

✓ 仅使用 Python 标准库（argparse, base64, json, os, socket, urllib, uuid, re, pathlib），无第三方依赖，无供应链风险

✓ API 调用有完整的超时机制（默认1200秒）和错误处理

✓ 无凭证收集行为——EM_API_KEY 仅用于向合法服务鉴权，无外传

✓ 无 shell 命令执行、无 base64 管道、无裸 IP 请求、无隐蔽指令

✓ 输出目录可被环境变量 INDUSTRY_STOCK_TRACKER_OUTPUT_DIR 覆盖，提供了可控性

✓ Base64 解码有异常捕获，写文件有 try-except 保护

✓ 外部 API URL 为知名的 eastmoney.com 域名，来源可信