Scan Report
5 /100
mx_macro_data
基于东方财富数据库的自然语言宏观经济数据查询工具
标准的东方财富宏观经济数据查询工具,功能声明与实际行为一致,无恶意行为发现
Safe to install
可安全使用
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md声明写入CSV/txt文件,代码在output_dir执行写入操作 |
| Network | READ | READ | ✓ Aligned | SKILL.md声明访问东方财富API,代码仅向https://ai-saas.eastmoney.com发送POST请求 |
| Environment | READ | READ | ✓ Aligned | 仅读取EM_API_KEY和MX_MACRO_DATA_OUTPUT_DIR |
1 High 3 findings
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:154 Medium External URL 外部 URL
https://ai.eastmoney.com/mxClaw SKILL.md:29 Medium External URL 外部 URL
https://ai-saas.eastmoney.com scripts/get_data.py:71 File Tree
2 files · 31.7 KB · 780 lines Python 1f · 507L
Markdown 1f · 273L
├─
▾
scripts
│ └─
get_data.py
Python
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
httpx | * | pip | No | 无版本锁定,但属知名安全HTTP库 |
Security Positives
✓ 功能声明与代码实现完全一致,无影子功能
✓ 只访问东方财富官方API,无外部IP连接
✓ API密钥仅用于本地鉴权,不外传
✓ 未访问敏感路径(~/.ssh、~/.aws、.env等)
✓ 无shell执行、subprocess调用或命令注入风险
✓ 无base64编码、管道命令或eval调用
✓ 凭证通过环境变量管理,不硬编码在代码中