kalshi-crypto-correlation-trader 安全扫描报告 — 可信 | ClawSafe

10 /100

kalshi-crypto-correlation-trader

利用 BTC/ETH 相关性（beta=1.3）在 BTC 大幅波动时交易 ETH 价格层市场，通过 Kalshi 预测市场捕捉 ETH 市场延迟调整的套利窗口。

合法加密货币相关交易机器人，使用 BTC/ETH 相关性策略在 Kalshi 市场进行预测交易，声明清晰，有 dry-run 保护机制，无恶意行为。

技能名称kalshi-crypto-correlation-trader

分析耗时39.5s

引擎pi

✓

可以安装

可安全使用。建议确认 simmer-sdk 来源可信后再在生产环境提供真实 API 密钥。

安全发现 3 项

严重性	安全发现	位置
低危	第三方依赖 simmer-sdk 无版本锁定 clawhub.json 仅声明 'simmer-sdk'，未指定版本范围。pip install 时会拉取最新版本，存在供应链更新风险。 `"requires": { "pip": ["simmer-sdk"] }` → 建议锁定版本：simmer-sdk==x.x.x 或 simmer-sdk>=1.0.0,<2.0.0	`clawhub.json`
提示	外部 API 端点存在于文档中代码访问 simmer.markets API（simmer-sdk 封装层），文档第 10 行已声明 https://simmer.markets/skills 作为 homepage，属于已知外部服务。 `homepage: "https://simmer.markets/skills"` → 无需行动，属于声明范围内的正常网络行为	`SKILL.md:10`
提示	Dry-run 模式作为安全护栏代码默认 dry_run=True（trader.py:614），需显式传入 --live 才执行真实交易。SKILL.md 第 51-57 行完整描述了风险矩阵，声明与实现一致。 `dry_run = not args.live` → 无需行动，良好的安全设计	`trader.py:614`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	代码无文件写入操作，仅读写配置文件（通过 simmer_sdk.load_config）
网络访问	`READ`	`READ`	✓ 一致	trader.py:238-253 通过 SimmerClient._request 访问 /api/sdk/markets 和 /api/sdk/positi…
命令执行	`NONE`	`NONE`	—	代码无 subprocess 调用
环境变量	`READ`	`READ`	✓ 一致	trader.py:42 os.environ.get('SIMMER_API_KEY'), trader.py:44 os.environ.get('SOLA…
浏览器	`NONE`	`NONE`	—	无浏览器相关代码

2 项发现

🔗

中危外部 URL 外部 URL

https://simmer.markets/skills

SKILL.md:10

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:110

3 文件 · 29.5 KB · 846 行

Python 1f · 649L Markdown 1f · 112L JSON 1f · 85L

├─ 📋 clawhub.json JSON 85L · 1.6 KB

├─ 📝 SKILL.md Markdown 112L · 4.5 KB

└─ 🐍 trader.py Python 649L · 23.4 KB

包名	版本	来源	已知漏洞	备注
`simmer-sdk`	`*`	pip	否	无版本锁定；声明来源为 PyPI (simmer.markets)，但建议审核源码 https://github.com/SpartanLabsXyz/simmer-sdk

✓ 声明与实现完全一致，无阴影功能

✓ Dry-run 模式默认启用，需 --live 显式激活真实交易

✓ 无 subprocess、base64 解码、eval 等高危模式

✓ 无敏感路径访问（~/.ssh、.env、AWS 凭证等）

✓ 无凭证外传行为，API 密钥仅用于 SDK 认证

✓ 包含完整的 safeguard 检查（市场已解决、flip-flop 警告、滑点、流动性等）

✓ automaton_report 输出结构完整，行为可审计

✓ 代码结构清晰，注释充分，函数职责单一