mx_financial_assistant Security Report — Trusted | ClawSafe

5 /100

mx_financial_assistant

基于东方财富金融数据库的智能金融问答服务

金融问答工具，代码仅实现对东方财富 API 的合法调用，无越权操作，行为与文档完全一致。

Skill Namemx_financial_assistant

Duration24.4s

Enginepi

✓

Safe to install

可安全使用。SKILL.md 中的 API_KEY 占位符仅为示例说明，不构成实际凭证泄露。

Findings 1 items

Severity	Finding	Location
Info	预扫描误报：文档示例占位符 SKILL.md:54 中的 API_KEY="your_api_key_here" 是文档配置示例占位符，非真实凭证。代码中无硬编码密钥。 `export EM_API_KEY="your_api_key_here"` → 可忽略，文档已明确标注为占位符，建议使用更明显的 <YOUR_KEY> 占位格式以避免误判	`SKILL.md:54`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 仅声明通过 python3 脚本执行，无文件系统写入声明，代码也无写入操作
Network	`READ`	`READ`	✓ Aligned	scripts/generate_answer.py:20 仅向声明的 eastmoney.com 域名发送用户查询，无额外网络活动
Shell	`NONE`	`NONE`	—	代码无 subprocess / os.system / bash 管道等 shell 执行调用
Environment	`READ`	`READ`	✓ Aligned	仅读取 EM_API_KEY 用于 API 鉴权，无遍历敏感环境变量行为
Skill Invoke	`NONE`	`NONE`	—	无动态调用其他技能的代码

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:54

🔗

Medium External URL 外部 URL

https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/ask

scripts/generate_answer.py:20

2 files · 18.0 KB · 504 lines

Python 1f · 275L Markdown 1f · 229L

├─ ▾ 📁 scripts

│ └─ 🐍 generate_answer.py Python 275L · 8.2 KB

└─ 📝 SKILL.md Markdown 229L · 9.8 KB

Package	Version	Source	Known Vulns	Notes
`httpx`	`*`	pip	No	无版本锁定，但 httpx 为成熟库，风险可忽略

✓ 代码结构清晰，无混淆或代码隐藏

✓ 仅使用单个 HTTP POST 调用目标 API，无多余网络请求

✓ 无 shell 执行、无文件写入、无凭证外传

✓ 依赖项极简（仅 httpx），无版本锁定但无害

✓ 600 秒超时设置合理，符合金融查询场景

✓ 行为与文档完全一致，无阴影功能