qutedance-quotes 安全扫描报告 — 可信 | ClawSafe

5 /100

qutedance-quotes

A股/港股/期货实时行情查询及板块涨跌幅榜单

Qutedance行情查询技能，行为与声明完全一致，无恶意特征

技能名称qutedance-quotes

分析耗时22.6s

引擎pi

✓

可以安装

可直接使用。注意：config.json包含API URL，生产环境应确保apiKey不为空

安全发现 1 项

严重性	安全发现	位置
低危	配置说明不够安全 SKILL.md建议将API Key直接写在配置文件中，而非使用环境变量 `为了简单易学，直接写在配置文件中：apiKey: ""` → 改为推荐使用环境变量 QUTEDANCE_API_KEY，避免凭证泄露风险	`SKILL.md:26`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/qutedance-quotes.js:12 CONFIG = require(config.json)
网络访问	`READ`	`READ`	✓ 一致	scripts/qutedance-quotes.js:44 fetch(url, GET)

1 项发现

🔗

中危外部 URL 外部 URL

https://quotedance.api.gapgap.cc

SKILL.md:19

3 文件 · 11.3 KB · 441 行

JavaScript 1f · 281L Markdown 1f · 150L JSON 1f · 10L

├─ ▾ 📁 scripts

│ └─ 📜 qutedance-quotes.js JavaScript 281L · 7.5 KB

├─ 🔑 config.json ⚠ JSON 10L · 137 B

└─ 📝 SKILL.md Markdown 150L · 3.6 KB

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 所有网络请求均通过标准fetch API，行为透明

✓ SKILL.md完整描述了脚本功能和接口调用方式

✓ 无shell执行、无本地文件写入、无凭证遍历

✓ 仅访问声明的外部API端点，无额外网络活动

✓ 错误处理完善（timeout、HTTP错误检查）