mx_financial_assistant 安全扫描报告 — 可信 | ClawSafe

5 /100

mx_financial_assistant

基于东方财富金融数据库的智能金融问答服务

金融问答工具，代码仅实现对东方财富 API 的合法调用，无越权操作，行为与文档完全一致。

技能名称mx_financial_assistant

分析耗时24.4s

引擎pi

✓

可以安装

可安全使用。SKILL.md 中的 API_KEY 占位符仅为示例说明，不构成实际凭证泄露。

安全发现 1 项

严重性	安全发现	位置
提示	预扫描误报：文档示例占位符 SKILL.md:54 中的 API_KEY="your_api_key_here" 是文档配置示例占位符，非真实凭证。代码中无硬编码密钥。 `export EM_API_KEY="your_api_key_here"` → 可忽略，文档已明确标注为占位符，建议使用更明显的 <YOUR_KEY> 占位格式以避免误判	`SKILL.md:54`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md 仅声明通过 python3 脚本执行，无文件系统写入声明，代码也无写入操作
网络访问	`READ`	`READ`	✓ 一致	scripts/generate_answer.py:20 仅向声明的 eastmoney.com 域名发送用户查询，无额外网络活动
命令执行	`NONE`	`NONE`	—	代码无 subprocess / os.system / bash 管道等 shell 执行调用
环境变量	`READ`	`READ`	✓ 一致	仅读取 EM_API_KEY 用于 API 鉴权，无遍历敏感环境变量行为
技能调用	`NONE`	`NONE`	—	无动态调用其他技能的代码

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:54

🔗

中危外部 URL 外部 URL

https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/ask

scripts/generate_answer.py:20

2 文件 · 18.0 KB · 504 行

Python 1f · 275L Markdown 1f · 229L

├─ ▾ 📁 scripts

│ └─ 🐍 generate_answer.py Python 275L · 8.2 KB

└─ 📝 SKILL.md Markdown 229L · 9.8 KB

包名	版本	来源	已知漏洞	备注
`httpx`	`*`	pip	否	无版本锁定，但 httpx 为成熟库，风险可忽略

✓ 代码结构清晰，无混淆或代码隐藏

✓ 仅使用单个 HTTP POST 调用目标 API，无多余网络请求

✓ 无 shell 执行、无文件写入、无凭证外传

✓ 依赖项极简（仅 httpx），无版本锁定但无害

✓ 600 秒超时设置合理，符合金融查询场景

✓ 行为与文档完全一致，无阴影功能