中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
quotedance-market
全球市场投研情报官 - 提供美股、A股、期货行情及专业资讯
市场投研情报技能,代码实现清晰透明,所有操作与声明一致,无恶意行为发现。
技能名称quotedance-market
分析耗时24.4s
引擎pi
可以安装
可直接使用。curl fallback 机制合理,仅用于网络降级。

安全发现 2 项

严重性 安全发现 位置
低危
curl fallback 机制使用 execFileSync
代码在 fetch 失败时使用 execFileSync('curl', ...) 作为降级方案。参数构建安全,不存在命令注入风险。这是合理的网络容错设计。
return execFileSync('curl', args, { encoding: 'utf8', stdio: ['ignore', 'pipe', 'pipe'] });
→ 可接受,已在 config.json 中声明 enableCurlFallback 配置项。
 scripts/market-scan.js:117
低危
环境变量读取用于代理和API认证
代码读取 HTTPS_PROXY、HTTP_PROXY、ALL_PROXY 环境变量用于代理配置,以及 QUTEDANCE_API_KEY 用于 API 认证。这些都是合理的用途。
process.env.HTTPS_PROXY || process.env.HTTP_PROXY || process.env.ALL_PROXY
→ 可接受,仅用于声明的功能。
 scripts/market-scan.js:33
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 scripts/market-scan.js:43 fs.mkdirSync/memory目录
网络访问 READ READ ✓ 一致 scripts/market-scan.js 所有 fetch 调用
环境变量 READ READ ✓ 一致 scripts/market-scan.js:33 仅读取代理和API密钥
命令执行 NONE WRITE ✓ 一致 scripts/market-scan.js:117 curl fallback,声明于 config.json network.enableCurlFallb…
14 项发现
🔗
中危 外部 URL 外部 URL
https://quotedance.api.gapgap.cc
SKILL.md:31
🔗
中危 外部 URL 外部 URL
https://query1.finance.yahoo.com/v7/finance/quote?symbols=
scripts/market-scan.js:233
🔗
中危 外部 URL 外部 URL
https://query2.finance.yahoo.com/v8/finance/chart/
scripts/market-scan.js:252
🔗
中危 外部 URL 外部 URL
https://stooq.com/q/l/?s=
scripts/market-scan.js:279
🔗
中危 外部 URL 外部 URL
https://feeds.bloomberg.com/markets/news.rss
scripts/market-scan.js:475
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=Bloomberg+market&hl=en-US&gl=US&ceid=US:en
scripts/market-scan.js:476
🔗
中危 外部 URL 外部 URL
https://feeds.reuters.com/reuters/businessNews
scripts/market-scan.js:482
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=Reuters+markets&hl=en-US&gl=US&ceid=US:en
scripts/market-scan.js:483
🔗
中危 外部 URL 外部 URL
https://wallstreetcn.com/rss
scripts/market-scan.js:489
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=%E5%8D%8E%E5%B0%94%E8%A1%97%E8%A7%81%E9%97%BB&hl=zh-CN&gl=CN&ceid=CN:zh-Hans
scripts/market-scan.js:490
🔗
中危 外部 URL 外部 URL
https://www.jin10.com/rss
scripts/market-scan.js:496
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=%E9%87%91%E5%8D%81%E6%95%B0%E6%8D%AE&hl=zh-CN&gl=CN&ceid=CN:zh-Hans
scripts/market-scan.js:497
🔗
中危 外部 URL 外部 URL
https://www.coindesk.com/arc/outboundfeeds/rss/
scripts/market-scan.js:502
🔗
中危 外部 URL 外部 URL
https://www.theblock.co/rss.xml
scripts/market-scan.js:506

目录结构

3 文件 · 31.1 KB · 1092 行
JavaScript 1f · 857L Markdown 1f · 201L JSON 1f · 34L
├─ 📁 scripts
│ └─ 📜 market-scan.js JavaScript 857L · 25.7 KB
├─ 🔑 config.json JSON 34L · 813 B
└─ 📝 SKILL.md Markdown 201L · 4.6 KB

依赖分析 1 项

包名版本来源已知漏洞备注
undici * npm Node.js 内置 HTTP 客户端,用于代理支持

安全亮点

✓ 代码结构清晰,模块化良好
✓ 所有网络请求目标域名在 config.json 中明确声明
✓ 代理配置完整,支持 forceProxyDomains
✓ 实现了缓存机制,避免重复请求
✓ 错误处理完善,有多重降级方案
✓ 无敏感文件访问
✓ 无凭证收割或数据外泄行为
✓ 无远程代码执行或命令注入漏洞