Scan Report
12 /100
mx_finance_search
基于东方财富数据库的金融资讯搜索工具,支持自然语言查询新闻、研报、公告等
金融资讯搜索工具,代码透明无恶意行为,存在轻微权限声明宽泛(未声明网络请求和文件写入权限),但为实现功能必要操作。
Safe to install
建议完善 SKILL.md 声明 filesystem:WRITE 和 network:READ 权限,明确数据流向。建议将 API_KEY 示例值改为更明显的占位符格式(如 ${EM_API_KEY})。
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Low | 权限声明不完整 - 文件系统 | SKILL.md:1 |
| Low | 权限声明不完整 - 网络 | SKILL.md:1 |
| Info | 示例占位符可优化 | SKILL.md:61 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | WRITE | ✗ Violation | scripts/get_data.py:207 写入本地 .txt 文件 |
| Network | NONE | READ | ✗ Violation | scripts/get_data.py:73 POST 请求到 ai-saas.eastmoney.com |
| Environment | READ | READ | ✓ Aligned | scripts/get_data.py:68 仅读取 EM_API_KEY |
| Shell | NONE | NONE | — | 无 subprocess 或 shell 执行 |
1 High 3 findings
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:61 Medium External URL 外部 URL
https://ai.eastmoney.com/mxClaw SKILL.md:25 Medium External URL 外部 URL
https://ai-saas.eastmoney.com/proxy/b/mcp/tool/searchNews scripts/get_data.py:73 File Tree
2 files · 16.7 KB · 456 lines Python 1f · 298L
Markdown 1f · 158L
├─
▾
scripts
│ └─
get_data.py
Python
└─
SKILL.md
Markdown
Security Positives
✓ 代码实现透明,无隐藏功能或后门
✓ 明确禁止硬编码凭证(SKILL.md 合规说明)
✓ 仅使用环境变量读取 API_KEY,无越权访问
✓ 网络请求目标为官方 eastmoney.com 合法 API
✓ 无 subprocess、eval、base64 解码等危险操作
✓ 错误处理完善,异常信息不外泄敏感内容