扫描报告
5 /100
mx_macro_data
基于东方财富数据库的自然语言宏观经济数据查询工具
标准的东方财富宏观经济数据查询工具,功能声明与实际行为一致,无恶意行为发现
可以安装
可安全使用
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md声明写入CSV/txt文件,代码在output_dir执行写入操作 |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md声明访问东方财富API,代码仅向https://ai-saas.eastmoney.com发送POST请求 |
| 环境变量 | READ | READ | ✓ 一致 | 仅读取EM_API_KEY和MX_MACRO_DATA_OUTPUT_DIR |
1 高危 3 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:154 中危 外部 URL 外部 URL
https://ai.eastmoney.com/mxClaw SKILL.md:29 中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com scripts/get_data.py:71 目录结构
2 文件 · 31.7 KB · 780 行 Python 1f · 507L
Markdown 1f · 273L
├─
▾
scripts
│ └─
get_data.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
httpx | * | pip | 否 | 无版本锁定,但属知名安全HTTP库 |
安全亮点
✓ 功能声明与代码实现完全一致,无影子功能
✓ 只访问东方财富官方API,无外部IP连接
✓ API密钥仅用于本地鉴权,不外传
✓ 未访问敏感路径(~/.ssh、~/.aws、.env等)
✓ 无shell执行、subprocess调用或命令注入风险
✓ 无base64编码、管道命令或eval调用
✓ 凭证通过环境变量管理,不硬编码在代码中