中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 10/100
Last scan:2 days ago Rescan
10 /100
kalshi-crypto-correlation-trader
利用 BTC/ETH 相关性(beta=1.3)在 BTC 大幅波动时交易 ETH 价格层市场,通过 Kalshi 预测市场捕捉 ETH 市场延迟调整的套利窗口。
合法加密货币相关交易机器人,使用 BTC/ETH 相关性策略在 Kalshi 市场进行预测交易,声明清晰,有 dry-run 保护机制,无恶意行为。
Skill Namekalshi-crypto-correlation-trader
Duration39.5s
Enginepi
Safe to install
可安全使用。建议确认 simmer-sdk 来源可信后再在生产环境提供真实 API 密钥。

Findings 3 items

Severity Finding Location
Low
第三方依赖 simmer-sdk 无版本锁定
clawhub.json 仅声明 'simmer-sdk',未指定版本范围。pip install 时会拉取最新版本,存在供应链更新风险。
"requires": { "pip": ["simmer-sdk"] }
→ 建议锁定版本:simmer-sdk==x.x.x 或 simmer-sdk>=1.0.0,<2.0.0
 clawhub.json
Info
外部 API 端点存在于文档中
代码访问 simmer.markets API(simmer-sdk 封装层),文档第 10 行已声明 https://simmer.markets/skills 作为 homepage,属于已知外部服务。
homepage: "https://simmer.markets/skills"
→ 无需行动,属于声明范围内的正常网络行为
 SKILL.md:10
Info
Dry-run 模式作为安全护栏
代码默认 dry_run=True(trader.py:614),需显式传入 --live 才执行真实交易。SKILL.md 第 51-57 行完整描述了风险矩阵,声明与实现一致。
dry_run = not args.live
→ 无需行动,良好的安全设计
 trader.py:614
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE 代码无文件写入操作,仅读写配置文件(通过 simmer_sdk.load_config)
Network READ READ ✓ Aligned trader.py:238-253 通过 SimmerClient._request 访问 /api/sdk/markets 和 /api/sdk/positi…
Shell NONE NONE 代码无 subprocess 调用
Environment READ READ ✓ Aligned trader.py:42 os.environ.get('SIMMER_API_KEY'), trader.py:44 os.environ.get('SOLA…
Browser NONE NONE 无浏览器相关代码
2 findings
🔗
Medium External URL 外部 URL
https://simmer.markets/skills
SKILL.md:10
📧
Info Email 邮箱地址
[email protected]
SKILL.md:110

File Tree

3 files · 29.5 KB · 846 lines
Python 1f · 649L Markdown 1f · 112L JSON 1f · 85L
├─ 📋 clawhub.json JSON 85L · 1.6 KB
├─ 📝 SKILL.md Markdown 112L · 4.5 KB
└─ 🐍 trader.py Python 649L · 23.4 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
simmer-sdk * pip No 无版本锁定;声明来源为 PyPI (simmer.markets),但建议审核源码 https://github.com/SpartanLabsXyz/simmer-sdk

Security Positives

✓ 声明与实现完全一致,无阴影功能
✓ Dry-run 模式默认启用,需 --live 显式激活真实交易
✓ 无 subprocess、base64 解码、eval 等高危模式
✓ 无敏感路径访问(~/.ssh、.env、AWS 凭证等)
✓ 无凭证外传行为,API 密钥仅用于 SDK 认证
✓ 包含完整的 safeguard 检查(市场已解决、flip-flop 警告、滑点、流动性等)
✓ automaton_report 输出结构完整,行为可审计
✓ 代码结构清晰,注释充分,函数职责单一