Name: china-stock-sentiment 安全扫描报告 — 低风险 | ClawSafe
Item: china-stock-sentiment
Rating: 80
Author: ClawSafe

20 /100

china-stock-sentiment

A 股舆情分析 + 百度热搜 + 新闻情感分析技能

该技能为合法的 A 股舆情分析工具，存在轻微的文档-行为差异（未声明的 subprocess 调用），但用途合理且无恶意行为。

技能名称china-stock-sentiment

分析耗时31.5s

引擎pi

ClawHub China Stock Sentiment v0.1.1 by daimingvip-a11y

📥 317 📦 3

ClawHub 判定可疑 dangerous_execllm_suspiciousvt_suspicious

✓

可以安装

建议在 SKILL.md 中补充声明使用 subprocess 调用其他技能的能力，其余功能正常。

安全发现 2 项

严重性	安全发现	位置
低危	subprocess 调用未在文档中声明文档欺骗 index.js:58 使用 execSync 调用 'openclaw skill run' 命令执行另一个技能，但 SKILL.md 仅提及 '百度热搜 (baidu-hot-cn 技能)' 作为数据源，未说明会执行 shell 命令 `const result = execSync('openclaw skill run baidu-hot-cn', { encoding: 'utf8' });` → 在 SKILL.md 的配置或功能章节补充说明：'通过 openclaw skill run 调用 baidu-hot-cn 技能获取热搜数据'	`index.js:58`
提示	开发状态与代码不完全匹配文档欺骗 SKILL.md 开发状态显示 '情感分析模型' 为未完成状态，但 index.js 中已实现基于关键词库的情感分析函数 `const POSITIVE_WORDS = [...]; const NEGATIVE_WORDS = [...];` → 更新 SKILL.md 开发状态，将 '情感分析模型' 标记为已完成	`index.js:15`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ/WRITE`	`WRITE`	✓ 一致	SKILL.md 声明存储到 memory/stock-sentiment/，index.js:138 fs.writeFileSync 实现了文件写入
命令执行	`NONE`	`READ`	✗ 越权	index.js:58 execSync('openclaw skill run baidu-hot-cn') 调用子进程，但未在 SKILL.md 声明
网络访问	`READ`	`NONE`	✓ 一致	SKILL.md 声明使用 web_fetch/web_search，但代码中未实现实际网络请求

2 项发现

🔗

中危外部 URL 外部 URL

https://clawhub.ai/skills/china-stock-sentiment/docs

README.md:87

📧

提示邮箱邮箱地址

[email protected]

README.md:85

目录结构

3 文件 · 11.5 KB · 454 行

Markdown 2f · 232L JavaScript 1f · 222L

├─ 📜 index.js JavaScript 222L · 6.7 KB

├─ 📝 README.md Markdown 99L · 2.3 KB

└─ 📝 SKILL.md Markdown 133L · 2.5 KB

包名	版本	来源	已知漏洞	备注
`Node.js standard library only`	`N/A`	bundled	否	仅使用 fs, path, child_process 内置模块

✓ 无外部依赖，仅使用 Node.js 标准库 (fs, path, child_process)，降低了供应链风险

✓ 未发现凭证收割、敏感文件访问、base64 编码等高危模式

✓ 情感分析为简单关键词匹配，无复杂恶意逻辑

✓ 文件写入路径固定在 memory/stock-sentiment/ 目录内，范围可控

✓ execSync 调用的命令是封闭的工具接口 (openclaw skill run)，非任意 shell 命令