kalshi-crypto-momentum-trader Security Report — Trusted | ClawSafe

5 /100

kalshi-crypto-momentum-trader

使用7天和30天价格趋势外推法在Kalshi上交易加密货币年末价格目标市场

合法的加密货币动量交易工具，代码功能与文档描述一致，无恶意行为。

Skill Namekalshi-crypto-momentum-trader

Duration32.2s

Enginepi

✓

Safe to install

可安全使用。注意：提供真实的 SOLANA_PRIVATE_KEY 时确保环境安全，不要在不信任的环境中暴露凭证。

Findings 2 items

Severity	Finding	Location
Info	使用第三方库 simmer-sdk 依赖 PyPI 上的 simmer-sdk 进行交易，与声明一致。 `from simmer_sdk.skill import load_config, update_config, get_config_path` → 建议在生产环境中审核 simmer-sdk 源码（GitHub: github.com/SpartanLabsXyz/simmer-sdk）	`trader.py:36`
Info	需要 Solana 私钥 SKILL.md 声明 SOLANA_PRIVATE_KEY 用于 DFlow 交易签名，这是链上交易的必要凭证。 `SOLANA_PRIVATE_KEY: For live \| Base58-encoded Solana private key for DFlow transactions.` → 确保私钥存储在安全位置，不要在日志中暴露	`SKILL.md:42`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	trader.py:35-39 使用load_config读取配置文件
Network	`READ`	`READ`	✓ Aligned	trader.py:180-190 调用simmer-sdk API
Shell	`NONE`	`NONE`	—	代码无subprocess/shell调用
Environment	`READ`	`READ`	✓ Aligned	trader.py:59 os.environ.get读取配置
Skill Invoke	`NONE`	`NONE`	—	无嵌套技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无数据库操作

2 findings

🔗

Medium External URL 外部 URL

https://simmer.markets/skills

SKILL.md:10

📧

Info Email 邮箱地址

[email protected]

SKILL.md:103

3 files · 25.7 KB · 750 lines

Python 1f · 560L Markdown 1f · 105L JSON 1f · 85L

├─ 📋 clawhub.json JSON 85L · 1.6 KB

├─ 📝 SKILL.md Markdown 105L · 4.0 KB

└─ 🐍 trader.py Python 560L · 20.1 KB

Package	Version	Source	Known Vulns	Notes
`simmer-sdk`	`*`	pip	No	无版本锁定，依赖 PyPI 官方包

✓ 默认干跑模式，不进行真实交易

✓ 明确的 --live 标志控制实际交易执行

✓ 包含交易保护机制（entry_edge、exit_threshold、max_trades、slippage_max）

✓ 代码逻辑清晰，无混淆或隐藏功能

✓ 无 shell 命令执行、subprocess 或系统调用

✓ 无凭证收割、远程代码执行或数据外泄行为

✓ 配置文件支持环境变量覆盖，符合声明