中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
kalshi-crypto-monotonicity-trader
在 Kalshi 加密货币价格层市场执行单调性约束套利,通过买入被低估的低门槛合约同时卖出被高估的高门槛合约来捕获无风险收益
合法的加密货币套利交易机器人,通过 Simmer SDK 与 Kalshi 预测市场交互,声明与实际行为一致,未发现恶意行为。
技能名称kalshi-crypto-monotonicity-trader
分析耗时37.3s
引擎pi
可以安装
可安全使用。关注 simmer-sdk 版本稳定性,建议锁定版本号以防上游供应链风险。

安全发现 3 项

严重性 安全发现 位置
低危
第三方依赖 simmer-sdk 无版本锁定
clawhub.json 仅声明 'requires_pip': 'simmer-sdk',未指定版本范围,存在供应链风险。
"requires_pip": "simmer-sdk"
→ 建议指定版本范围,如 'simmer-sdk>=1.0.0,<2.0.0'
 clawhub.json:10
提示
tradejournal 集成未在文档声明
代码在第 21-30 行尝试导入 tradejournal 并记录交易,但 SKILL.md 未提及此功能。
from tradejournal import log_trade
→ 文档化 tradejournal 集成或移除该可选依赖
 trader.py:21
提示
AUTOMATON_MANAGED 环境变量未声明
代码读取 AUTOMATON_MANAGED 和 AUTOMATON_MAX_BET 环境变量用于自动化调度,但 SKILL.md 仅提及 'Cron is set to null',未详细说明这些变量。
if os.environ.get('AUTOMATON_MANAGED')
→ 在文档中说明自动化变量或移除未使用的环境变量读取
 trader.py:60
资源类型声明权限推断权限状态证据
文件系统 NONE NONE trader.py: 全程无文件写入操作
网络访问 READ READ ✓ 一致 trader.py:44-45 通过 simmer-sdk._request() 访问 Simmer API
命令执行 NONE NONE trader.py: 无 subprocess/eval/os.system 调用
环境变量 READ READ ✓ 一致 trader.py:54-58 仅读取 SIMMER_API_KEY/SIMMER_CRYPTO_MONO_* 等配置变量
技能调用 READ READ ✓ 一致 trader.py: 仅通过 simmer-sdk 内部调用
剪贴板 NONE NONE 无剪贴板访问
浏览器 NONE NONE 无浏览器调用
数据库 NONE NONE 无数据库访问
2 项发现
🔗
中危 外部 URL 外部 URL
https://simmer.markets/skills
SKILL.md:10
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:118

目录结构

3 文件 · 32.9 KB · 892 行
Python 1f · 687L Markdown 1f · 120L JSON 1f · 85L
├─ 📋 clawhub.json JSON 85L · 1.6 KB
├─ 📝 SKILL.md Markdown 120L · 5.0 KB
└─ 🐍 trader.py Python 687L · 26.3 KB

依赖分析 2 项

包名版本来源已知漏洞备注
simmer-sdk * pip 无版本锁定,建议指定版本范围
tradejournal * pip 可选依赖,用于交易日志记录

安全亮点

✓ 默认 dry-run 模式,--live 需显式传递,财务风险可控
✓ 内置 safeguard 检查(市场已结算、流动性、滑点、时间窗口)
✓ 风险参数可调(max position $5, max trades 3),且可通过环境变量约束
✓ 无 subprocess/eval/动态代码执行等危险操作
✓ 无文件写入操作,不访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 无网络请求到非 Simmer API 端点
✓ 无凭证外传行为
✓ 代码结构清晰,逻辑与文档描述一致