akshare Security Report — Low Risk | ClawSafe

25 /100

akshare

Use AKShare for Chinese market and macro-finance data via Python

标准 AKShare 金融数据获取工具，存在未声明的 __builtins__ 引用和依赖版本锁定缺失，但无恶意行为证据。

Skill Nameakshare

Duration50.4s

Enginepi

✓

Safe to install

修复 SKILL.md 添加 __builtins__ 说明；使用 pip install akshare==x.x.x 锁定版本。

Findings 2 items

Severity	Finding	Location
Medium	eval() 的 __builtins__ 引用未在文档中声明 Doc Mismatch akshare_eval.py 使用 eval(args.expr, {'__builtins__': __builtins__}, env) 执行表达式，__builtins__ 引用允许执行广泛的 Python 内建函数，但 SKILL.md 未提及此实现细节。 `result = eval(args.expr, {'__builtins__': __builtins__}, env)` → 在 SKILL.md 的 Technical Details 或 Workflow 章节添加说明，告知用户表达式执行使用受限的 Python 环境。	`scripts/akshare_eval.py:26`
Low	pip install 无版本锁定 Supply Chain bootstrap_akshare_env.sh 使用 'pip install --upgrade akshare' 而非固定版本，存在供应链风险（上游更新可能导致兼容性问题）。 `$VENV/bin/pip install --upgrade akshare` → 使用版本锁定：pip install akshare==1.x.x 或创建 requirements.txt 并通过 pip install -r 部署。	`scripts/bootstrap_akshare_env.sh:12`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:19 创建 venv 目录
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:15 执行 bash 脚本
Network	`READ`	`READ`	✓ Aligned	通过 akshare 获取公开市场数据

1 findings

🔗

Medium External URL 外部 URL

https://x.com/btc_cczzc

SKILL.md:92

4 files · 5.6 KB · 214 lines

Markdown 2f · 151L Python 1f · 51L Shell 1f · 12L

├─ ▾ 📁 references

│ └─ 📝 common-recipes.md Markdown 59L · 1.2 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 akshare_eval.py Python 51L · 1.5 KB

│ └─ 🔧 bootstrap_akshare_env.sh Shell 12L · 338 B

└─ 📝 SKILL.md Markdown 92L · 2.6 KB

Package	Version	Source	Known Vulns	Notes
`akshare`	`*`	pip	No	无版本锁定，建议锁定到具体版本
`pandas`	`*`	akshare依赖	No	通过 akshare 间接安装

✓ 功能单一，专注于 AKShare 金融数据获取

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 无凭证访问、环境变量遍历或外部数据传输

✓ 无反向 shell、base64 解码或可疑网络请求

✓ 依赖简单（仅 akshare + pandas），审计友好