kalshi-crypto-momentum-trader 安全扫描报告 — 可信 | ClawSafe

5 /100

kalshi-crypto-momentum-trader

使用7天和30天价格趋势外推法在Kalshi上交易加密货币年末价格目标市场

合法的加密货币动量交易工具，代码功能与文档描述一致，无恶意行为。

技能名称kalshi-crypto-momentum-trader

分析耗时32.2s

引擎pi

✓

可以安装

可安全使用。注意：提供真实的 SOLANA_PRIVATE_KEY 时确保环境安全，不要在不信任的环境中暴露凭证。

安全发现 2 项

严重性	安全发现	位置
提示	使用第三方库 simmer-sdk 依赖 PyPI 上的 simmer-sdk 进行交易，与声明一致。 `from simmer_sdk.skill import load_config, update_config, get_config_path` → 建议在生产环境中审核 simmer-sdk 源码（GitHub: github.com/SpartanLabsXyz/simmer-sdk）	`trader.py:36`
提示	需要 Solana 私钥 SKILL.md 声明 SOLANA_PRIVATE_KEY 用于 DFlow 交易签名，这是链上交易的必要凭证。 `SOLANA_PRIVATE_KEY: For live \| Base58-encoded Solana private key for DFlow transactions.` → 确保私钥存储在安全位置，不要在日志中暴露	`SKILL.md:42`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	trader.py:35-39 使用load_config读取配置文件
网络访问	`READ`	`READ`	✓ 一致	trader.py:180-190 调用simmer-sdk API
命令执行	`NONE`	`NONE`	—	代码无subprocess/shell调用
环境变量	`READ`	`READ`	✓ 一致	trader.py:59 os.environ.get读取配置
技能调用	`NONE`	`NONE`	—	无嵌套技能调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器操作
数据库	`NONE`	`NONE`	—	无数据库操作

2 项发现

🔗

中危外部 URL 外部 URL

https://simmer.markets/skills

SKILL.md:10

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:103

3 文件 · 25.7 KB · 750 行

Python 1f · 560L Markdown 1f · 105L JSON 1f · 85L

├─ 📋 clawhub.json JSON 85L · 1.6 KB

├─ 📝 SKILL.md Markdown 105L · 4.0 KB

└─ 🐍 trader.py Python 560L · 20.1 KB

包名	版本	来源	已知漏洞	备注
`simmer-sdk`	`*`	pip	否	无版本锁定，依赖 PyPI 官方包

✓ 默认干跑模式，不进行真实交易

✓ 明确的 --live 标志控制实际交易执行

✓ 包含交易保护机制（entry_edge、exit_threshold、max_trades、slippage_max）

✓ 代码逻辑清晰，无混淆或隐藏功能

✓ 无 shell 命令执行、subprocess 或系统调用

✓ 无凭证收割、远程代码执行或数据外泄行为

✓ 配置文件支持环境变量覆盖，符合声明