扫描报告
5 /100
industry_stock_tracker
依托东方财富数据库,面向行业或个股,产出跟踪类报告(含日报/周报/月报、研报及结构化跟踪解读)
该技能为合法的行业/个股跟踪报告生成工具,代码功能与文档描述基本一致,未发现恶意行为。存在轻微瑕疵(文档未明确声明文件写入能力、SKILL.md含占位符API_KEY示例),但不影响安全性。
可以安装
可直接使用。建议在文档中明确声明附件文件写入能力,并将 SKILL.md 中的占位符示例改为更明显的占位符格式(如 <YOUR_API_KEY>)。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 提示 | SKILL.md 中存在占位符 API_KEY 示例 | SKILL.md:34 |
| 低危 | 文件系统 WRITE 能力未在 SKILL.md 中明确声明 | scripts/generate_industry_stock_tracker_report.py:146 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | WRITE | ✓ 一致 | scripts/generate_industry_stock_tracker_report.py:146 创建输出目录 + 写入 base64 解码后的 PD… |
| 网络访问 | READ | READ | ✓ 一致 | scripts/generate_industry_stock_tracker_report.py:60-77 发起 POST 请求调用外部报告服务 |
| 环境变量 | READ | READ | ✓ 一致 | scripts/generate_industry_stock_tracker_report.py:34 仅读取 EM_API_KEY 用于 API 鉴权 |
| 命令执行 | NONE | NONE | — | 无 subprocess 或 shell 执行代码 |
1 高危 2 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:34 中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/tracking/report scripts/generate_industry_stock_tracker_report.py:32 目录结构
2 文件 · 13.1 KB · 386 行 Python 1f · 270L
Markdown 1f · 116L
├─
▾
scripts
│ └─
generate_industry_stock_tracker_report.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
无外部依赖 | N/A | Python 标准库 | 否 | 仅使用 argparse, base64, json, os, socket, urllib, uuid, re, pathlib, typing 等标准库 |
安全亮点
✓ 仅使用 Python 标准库(argparse, base64, json, os, socket, urllib, uuid, re, pathlib),无第三方依赖,无供应链风险
✓ API 调用有完整的超时机制(默认1200秒)和错误处理
✓ 无凭证收集行为——EM_API_KEY 仅用于向合法服务鉴权,无外传
✓ 无 shell 命令执行、无 base64 管道、无裸 IP 请求、无隐蔽指令
✓ 输出目录可被环境变量 INDUSTRY_STOCK_TRACKER_OUTPUT_DIR 覆盖,提供了可控性
✓ Base64 解码有异常捕获,写文件有 try-except 保护
✓ 外部 API URL 为知名的 eastmoney.com 域名,来源可信