Stock Inquiry - 股票查询安全扫描报告 — 可信 | ClawSafe

5 /100

Stock Inquiry - 股票查询

按股票代码查当日行情与详情（分钟级趋势），或按分类拉取沪深、港股、北证等股票列表

功能完整的股票查询工具，仅访问外部股票 API，无文件系统写入、无 shell 执行、无凭证外传，行为与文档声明完全一致。

技能名称Stock Inquiry - 股票查询

分析耗时26.0s

引擎pi

✓

可以安装

可安全使用。建议将 requests 依赖版本锁定以防供应链风险。

安全发现 2 项

严重性	安全发现	位置
低危	requests 依赖无版本锁定代码 import requests 但未在 requirements.txt 中限定版本范围，存在依赖供应链攻击风险 `import requests` → 建议添加 requirements.txt 并声明 requests>=2.28.0	`stock.py:9`
提示	SKILL.md 中的 API_KEY 为文档占位符预扫描标记的 'API_KEY="your_appkey_here"' 出现在 SKILL.md 配置示例中（第28行），是用户自行填写的占位符，非真实凭证，无实际风险 `export JISU_API_KEY="your_appkey_here"` → 无需处理，属于正常文档示例	`SKILL.md:28`

资源类型	声明权限	推断权限	状态	证据
环境变量	`READ`	`READ`	✓ 一致	stock.py:107 读取 os.getenv('JISU_API_KEY')
网络访问	`READ`	`READ`	✓ 一致	stock.py:23 requests.get 仅访问 jisuapi.com 股票 API
文件系统	`NONE`	`NONE`	—	无文件读写操作
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system 调用

1 高危 5 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_appkey_here"

SKILL.md:28

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:9

🔗

中危外部 URL 外部 URL

https://clawhub.ai/jisuapi/stockhistory

SKILL.md:16

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/api/stock/

SKILL.md:21

🔗

中危外部 URL 外部 URL

https://api.jisuapi.com/stock

stock.py:15

目录结构

2 文件 · 11.5 KB · 349 行

Markdown 1f · 216L Python 1f · 133L

├─ 📝 SKILL.md Markdown 216L · 7.4 KB

└─ 🐍 stock.py Python 133L · 4.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，存在依赖供应链风险

安全亮点

✓ 仅使用标准库 + requests，无多余依赖

✓ 无 shell 执行，无 subprocess 调用

✓ 网络访问仅限 jisuapi.com 股票 API，无其他外部通信

✓ 无文件系统写入操作

✓ 无凭证外传，API key 仅用于对 jisuapi.com 的身份验证

✓ 代码结构清晰，三个命令（query/list/detail）功能内聚

✓ SKILL.md 文档完整，详细说明了所有端点和错误码