中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 25/100
上次扫描:10 小时前 重新扫描
25 /100
akshare
Use AKShare for Chinese market and macro-finance data via Python
标准 AKShare 金融数据获取工具,存在未声明的 __builtins__ 引用和依赖版本锁定缺失,但无恶意行为证据。
技能名称akshare
分析耗时50.4s
引擎pi
可以安装
修复 SKILL.md 添加 __builtins__ 说明;使用 pip install akshare==x.x.x 锁定版本。

安全发现 2 项

严重性 安全发现 位置
中危
eval() 的 __builtins__ 引用未在文档中声明 文档欺骗
akshare_eval.py 使用 eval(args.expr, {'__builtins__': __builtins__}, env) 执行表达式,__builtins__ 引用允许执行广泛的 Python 内建函数,但 SKILL.md 未提及此实现细节。
result = eval(args.expr, {'__builtins__': __builtins__}, env)
→ 在 SKILL.md 的 Technical Details 或 Workflow 章节添加说明,告知用户表达式执行使用受限的 Python 环境。
 scripts/akshare_eval.py:26
低危
pip install 无版本锁定 供应链
bootstrap_akshare_env.sh 使用 'pip install --upgrade akshare' 而非固定版本,存在供应链风险(上游更新可能导致兼容性问题)。
$VENV/bin/pip install --upgrade akshare
→ 使用版本锁定:pip install akshare==1.x.x 或创建 requirements.txt 并通过 pip install -r 部署。
 scripts/bootstrap_akshare_env.sh:12
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:19 创建 venv 目录
命令执行 WRITE WRITE ✓ 一致 SKILL.md:15 执行 bash 脚本
网络访问 READ READ ✓ 一致 通过 akshare 获取公开市场数据
1 项发现
🔗
中危 外部 URL 外部 URL
https://x.com/btc_cczzc
SKILL.md:92

目录结构

4 文件 · 5.6 KB · 214 行
Markdown 2f · 151L Python 1f · 51L Shell 1f · 12L
├─ 📁 references
│ └─ 📝 common-recipes.md Markdown 59L · 1.2 KB
├─ 📁 scripts
│ ├─ 🐍 akshare_eval.py Python 51L · 1.5 KB
│ └─ 🔧 bootstrap_akshare_env.sh Shell 12L · 338 B
└─ 📝 SKILL.md Markdown 92L · 2.6 KB

依赖分析 2 项

包名版本来源已知漏洞备注
akshare * pip 无版本锁定,建议锁定到具体版本
pandas * akshare依赖 通过 akshare 间接安装

安全亮点

✓ 功能单一,专注于 AKShare 金融数据获取
✓ 代码结构清晰,无混淆或隐藏逻辑
✓ 无凭证访问、环境变量遍历或外部数据传输
✓ 无反向 shell、base64 解码或可疑网络请求
✓ 依赖简单(仅 akshare + pandas),审计友好