中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
qutedance-quotes
A股/港股/期货实时行情查询及板块涨跌幅榜单
Qutedance行情查询技能,行为与声明完全一致,无恶意特征
Skill Namequtedance-quotes
Duration22.6s
Enginepi
Safe to install
可直接使用。注意:config.json包含API URL,生产环境应确保apiKey不为空

Findings 1 items

Severity Finding Location
Low
配置说明不够安全
SKILL.md建议将API Key直接写在配置文件中,而非使用环境变量
为了简单易学,直接写在配置文件中:apiKey: ""
→ 改为推荐使用环境变量 QUTEDANCE_API_KEY,避免凭证泄露风险
 SKILL.md:26
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned scripts/qutedance-quotes.js:12 CONFIG = require(config.json)
Network READ READ ✓ Aligned scripts/qutedance-quotes.js:44 fetch(url, GET)
1 findings
🔗
Medium External URL 外部 URL
https://quotedance.api.gapgap.cc
SKILL.md:19

File Tree

3 files · 11.3 KB · 441 lines
JavaScript 1f · 281L Markdown 1f · 150L JSON 1f · 10L
├─ 📁 scripts
│ └─ 📜 qutedance-quotes.js JavaScript 281L · 7.5 KB
├─ 🔑 config.json JSON 10L · 137 B
└─ 📝 SKILL.md Markdown 150L · 3.6 KB

Security Positives

✓ 代码结构清晰,无混淆或隐藏逻辑
✓ 所有网络请求均通过标准fetch API,行为透明
✓ SKILL.md完整描述了脚本功能和接口调用方式
✓ 无shell执行、无本地文件写入、无凭证遍历
✓ 仅访问声明的外部API端点,无额外网络活动
✓ 错误处理完善(timeout、HTTP错误检查)