quotedance-market Security Report — Trusted | ClawSafe

5 /100

quotedance-market

全球市场投研情报官 - 提供美股、A股、期货行情及专业资讯

市场投研情报技能，代码实现清晰透明，所有操作与声明一致，无恶意行为发现。

Skill Namequotedance-market

Duration24.4s

Enginepi

✓

Safe to install

可直接使用。curl fallback 机制合理，仅用于网络降级。

Findings 2 items

Severity	Finding	Location
Low	curl fallback 机制使用 execFileSync 代码在 fetch 失败时使用 execFileSync('curl', ...) 作为降级方案。参数构建安全，不存在命令注入风险。这是合理的网络容错设计。 `return execFileSync('curl', args, { encoding: 'utf8', stdio: ['ignore', 'pipe', 'pipe'] });` → 可接受，已在 config.json 中声明 enableCurlFallback 配置项。	`scripts/market-scan.js:117`
Low	环境变量读取用于代理和API认证代码读取 HTTPS_PROXY、HTTP_PROXY、ALL_PROXY 环境变量用于代理配置，以及 QUTEDANCE_API_KEY 用于 API 认证。这些都是合理的用途。 `process.env.HTTPS_PROXY \|\| process.env.HTTP_PROXY \|\| process.env.ALL_PROXY` → 可接受，仅用于声明的功能。	`scripts/market-scan.js:33`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/market-scan.js:43 fs.mkdirSync/memory目录
Network	`READ`	`READ`	✓ Aligned	scripts/market-scan.js 所有 fetch 调用
Environment	`READ`	`READ`	✓ Aligned	scripts/market-scan.js:33 仅读取代理和API密钥
Shell	`NONE`	`WRITE`	✓ Aligned	scripts/market-scan.js:117 curl fallback，声明于 config.json network.enableCurlFallb…

14 findings

🔗

Medium External URL 外部 URL

https://quotedance.api.gapgap.cc

SKILL.md:31

🔗

Medium External URL 外部 URL

https://query1.finance.yahoo.com/v7/finance/quote?symbols=

scripts/market-scan.js:233

🔗

Medium External URL 外部 URL

https://query2.finance.yahoo.com/v8/finance/chart/

scripts/market-scan.js:252

🔗

Medium External URL 外部 URL

https://stooq.com/q/l/?s=

scripts/market-scan.js:279

🔗

Medium External URL 外部 URL

https://feeds.bloomberg.com/markets/news.rss

scripts/market-scan.js:475

🔗

Medium External URL 外部 URL

https://news.google.com/rss/search?q=Bloomberg+market&hl=en-US&gl=US&ceid=US:en

scripts/market-scan.js:476

🔗

Medium External URL 外部 URL

https://feeds.reuters.com/reuters/businessNews

scripts/market-scan.js:482

🔗

Medium External URL 外部 URL

https://news.google.com/rss/search?q=Reuters+markets&hl=en-US&gl=US&ceid=US:en

scripts/market-scan.js:483

🔗

Medium External URL 外部 URL

https://wallstreetcn.com/rss

scripts/market-scan.js:489

🔗

Medium External URL 外部 URL

https://news.google.com/rss/search?q=%E5%8D%8E%E5%B0%94%E8%A1%97%E8%A7%81%E9%97%BB&hl=zh-CN&gl=CN&ceid=CN:zh-Hans

scripts/market-scan.js:490

🔗

Medium External URL 外部 URL

https://www.jin10.com/rss

scripts/market-scan.js:496

🔗

Medium External URL 外部 URL

https://news.google.com/rss/search?q=%E9%87%91%E5%8D%81%E6%95%B0%E6%8D%AE&hl=zh-CN&gl=CN&ceid=CN:zh-Hans

scripts/market-scan.js:497

🔗

Medium External URL 外部 URL

https://www.coindesk.com/arc/outboundfeeds/rss/

scripts/market-scan.js:502

🔗

Medium External URL 外部 URL

https://www.theblock.co/rss.xml

scripts/market-scan.js:506

File Tree

3 files · 31.1 KB · 1092 lines

JavaScript 1f · 857L Markdown 1f · 201L JSON 1f · 34L

├─ ▾ 📁 scripts

│ └─ 📜 market-scan.js JavaScript 857L · 25.7 KB

├─ 🔑 config.json ⚠ JSON 34L · 813 B

└─ 📝 SKILL.md Markdown 201L · 4.6 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`undici`	`*`	npm	No	Node.js 内置 HTTP 客户端，用于代理支持

Security Positives

✓ 代码结构清晰，模块化良好

✓ 所有网络请求目标域名在 config.json 中明确声明

✓ 代理配置完整，支持 forceProxyDomains

✓ 实现了缓存机制，避免重复请求

✓ 错误处理完善，有多重降级方案

✓ 无敏感文件访问

✓ 无凭证收割或数据外泄行为

✓ 无远程代码执行或命令注入漏洞

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives