Stock Inquiry - 股票查询 Security Report — Trusted | ClawSafe

5 /100

Stock Inquiry - 股票查询

按股票代码查当日行情与详情（分钟级趋势），或按分类拉取沪深、港股、北证等股票列表

功能完整的股票查询工具，仅访问外部股票 API，无文件系统写入、无 shell 执行、无凭证外传，行为与文档声明完全一致。

Skill NameStock Inquiry - 股票查询

Duration26.0s

Enginepi

✓

Safe to install

可安全使用。建议将 requests 依赖版本锁定以防供应链风险。

Findings 2 items

Severity	Finding	Location
Low	requests 依赖无版本锁定代码 import requests 但未在 requirements.txt 中限定版本范围，存在依赖供应链攻击风险 `import requests` → 建议添加 requirements.txt 并声明 requests>=2.28.0	`stock.py:9`
Info	SKILL.md 中的 API_KEY 为文档占位符预扫描标记的 'API_KEY="your_appkey_here"' 出现在 SKILL.md 配置示例中（第28行），是用户自行填写的占位符，非真实凭证，无实际风险 `export JISU_API_KEY="your_appkey_here"` → 无需处理，属于正常文档示例	`SKILL.md:28`

Resource	Declared	Inferred	Status	Evidence
Environment	`READ`	`READ`	✓ Aligned	stock.py:107 读取 os.getenv('JISU_API_KEY')
Network	`READ`	`READ`	✓ Aligned	stock.py:23 requests.get 仅访问 jisuapi.com 股票 API
Filesystem	`NONE`	`NONE`	—	无文件读写操作
Shell	`NONE`	`NONE`	—	无 subprocess/os.system 调用

1 High 5 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:28

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

Medium External URL 外部 URL

https://clawhub.ai/jisuapi/stockhistory

SKILL.md:16

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/api/stock/

SKILL.md:21

🔗

Medium External URL 外部 URL

https://api.jisuapi.com/stock

stock.py:15

File Tree

2 files · 11.5 KB · 349 lines

Markdown 1f · 216L Python 1f · 133L

├─ 📝 SKILL.md Markdown 216L · 7.4 KB

└─ 🐍 stock.py Python 133L · 4.1 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，存在依赖供应链风险

Security Positives

✓ 仅使用标准库 + requests，无多余依赖

✓ 无 shell 执行，无 subprocess 调用

✓ 网络访问仅限 jisuapi.com 股票 API，无其他外部通信

✓ 无文件系统写入操作

✓ 无凭证外传，API key 仅用于对 jisuapi.com 的身份验证

✓ 代码结构清晰，三个命令（query/list/detail）功能内聚

✓ SKILL.md 文档完整，详细说明了所有端点和错误码

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives