中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
kalshi-crypto-monotonicity-trader
Enforces monotonicity constraints on crypto price-level markets on Kalshi. P(BTC > $110k) must always >= P(BTC > $120k). Trades violations by buying underpriced lower-threshold contracts and selling overpriced higher-threshold ones.
合法的加密货币预测市场套利交易机器人,通过 Simmer SDK 执行交易,默认干跑模式,代码结构清晰,无恶意行为。
技能名称kalshi-crypto-monotonicity-trader
分析耗时41.7s
引擎pi
可以安装
可直接使用。注意:提供 SOLANA_PRIVATE_KEY 时确保运行环境可信,避免非必要渠道泄露私钥。

安全发现 3 项

严重性 安全发现 位置
低危
tradejournal 集成可选但有影子调用
trader.py 尝试导入 tradejournal 模块并在交易成功时调用 log_trade()。这是合法的记账功能,但由于是 try/import 暗式加载,agent 不会意识到这个行为。
from tradejournal import log_trade
→ 建议在 SKILL.md 中声明 tradejournal 依赖(或将日志集成改为显式 opt-in)。
 trader.py:28
提示
干跑模式默认开启,实盘需显式 --live
SKILL.md 正确声明了 dry-run 默认为 True,只有传递 --live 时才执行真实交易。这是良好的安全设计。
dry_run = not args.live
→ 保持现状。
 trader.py:603:603
提示
SOLANA_PRIVATE_KEY 声明完整
SKILL.md 明确声明 SOLANA_PRIVATE_KEY 用于实时交易签名,属于合法的交易工具需求。代码中未见私钥直接外传。
SOLANA_PRIVATE_KEY environment variable. Base58-encoded Solana private key for DFlow transactions.
→ 保持现状。
 SKILL.md:44
资源类型声明权限推断权限状态证据
环境变量 READ READ ✓ 一致 trader.py:36-37 读取 SIMMER_API_KEY、TRADING_VENUE
网络访问 READ READ ✓ 一致 trader.py 通过 simmer_sdk.SimmerClient._request() 调用 API
文件系统 READ READ ✓ 一致 trader.py:44 load_config() 读取本地配置
2 项发现
🔗
中危 外部 URL 外部 URL
https://simmer.markets/skills
SKILL.md:10
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:118

目录结构

4 文件 · 33.1 KB · 897 行
Python 1f · 687L Markdown 1f · 120L JSON 2f · 90L
├─ 📋 _meta.json JSON 5L · 152 B
├─ 📋 clawhub.json JSON 85L · 1.6 KB
├─ 📝 SKILL.md Markdown 120L · 5.0 KB
└─ 🐍 trader.py Python 687L · 26.3 KB

依赖分析 1 项

包名版本来源已知漏洞备注
simmer-sdk * pip 无版本锁定,来自 PyPI,由 Simmer Markets 维护

安全亮点

✓ 无 subprocess/shell/eval 等高危操作
✓ 无 base64/bash 管道或裸 IP 请求
✓ 无敏感路径遍历(~/.ssh、.env 等)
✓ 网络通信完全通过官方 simmer-sdk 进行,路径透明
✓ 默认干跑模式,可控性强
✓ 有完整的止损/滑点/流动性保护机制
✓ 所有外部 URL 均为官方域名(simmer.markets, pypi.org, github.com)
✓ 代码结构清晰,逻辑完整,文档与实现一致