Scan Report
5 /100
investoday-finance-data
通过 InvestToday API 获取中国市场金融数据,覆盖 A股、港股、基金、指数、财务、公告、研报和宏观经济等 180+ 接口
This is a legitimate financial data API wrapper with no malicious indicators. The skill safely retrieves Chinese market data through a documented API endpoint using proper credential handling.
Safe to install
No action required. The skill is safe to use.
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | NONE | READ | ✓ Aligned | SKILL.md:network_access:true vs allowed-tools schema not explicitly declared |
| Environment | READ | READ | ✓ Aligned | INVESTODAY_API_KEY is declared as credential requirement |
| Shell | NONE | NONE | — | No subprocess/exec calls in scripts/call_api.js |
| Filesystem | NONE | READ | ✓ Aligned | Only reads .env file (line 40), no other filesystem access |
5 findings
Medium External URL 外部 URL
https://data-api.investoday.net/login SKILL.md:61 Medium External URL 外部 URL
https://data-api.investoday.net/hub?url=%2Fapidocs%2Fai-native-financial-data SKILL.md:134 Medium External URL 外部 URL
https://data-api.investoday.net/hub?url=%2Fapidocs%2Ffaq SKILL.md:134 Medium External URL 外部 URL
https://data-api.investoday.net/hub?url=%2Fapidocs%2Fcontact-me SKILL.md:134 Medium External URL 外部 URL
https://data-api.investoday.net/data scripts/call_api.js:36 File Tree
49 files · 232.4 KB · 6090 lines Markdown 48f · 5885L
JavaScript 1f · 205L
├─
▾
docs
│ ├─
api-key-setup.en.md
Markdown
│ ├─
api-key-setup.md
Markdown
│ ├─
references-index.en.md
Markdown
│ ├─
references-index.md
Markdown
│ ├─
security-privacy.en.md
Markdown
│ └─
security-privacy.md
Markdown
├─
▾
references
│ ├─
▾
产业链
│ │ ├─
关系图谱.md
Markdown
│ │ ├─
基础信息.md
Markdown
│ │ └─
经营分析.md
Markdown
│ ├─
▾
基金
│ │ ├─
ETF基金.md
Markdown
│ │ ├─
基金业绩表现.md
Markdown
│ │ ├─
基金投资组合.md
Markdown
│ │ ├─
基金持有人.md
Markdown
│ │ ├─
基金行情.md
Markdown
│ │ ├─
基金财务数据.md
Markdown
│ │ ├─
基金资料.md
Markdown
│ │ └─
特色数据.md
Markdown
│ ├─
▾
宏观经济
│ │ └─
国内宏观.md
Markdown
│ ├─
▾
工具
│ │ └─
图标.md
Markdown
│ ├─
▾
指数
│ │ ├─
基础行情.md
Markdown
│ │ ├─
技术指标.md
Markdown
│ │ ├─
指数资料.md
Markdown
│ │ └─
行情衍生数据.md
Markdown
│ ├─
▾
新闻与观点
│ │ └─
基础数据.md
Markdown
│ ├─
▾
板块
│ │ ├─
分析与预测.md
Markdown
│ │ ├─
基础数据.md
Markdown
│ │ ├─
基础行情.md
Markdown
│ │ ├─
特色数据.md
Markdown
│ │ ├─
衍生行情.md
Markdown
│ │ └─
财务数据.md
Markdown
│ ├─
▾
沪深京数据
│ │ ├─
公司行为.md
Markdown
│ │ ├─
基础信息.md
Markdown
│ │ ├─
特色数据.md
Markdown
│ │ ├─
股票行情.md
Markdown
│ │ └─
财务数据.md
Markdown
│ ├─
▾
港股
│ │ ├─
公司行为.md
Markdown
│ │ ├─
基础数据.md
Markdown
│ │ ├─
港股行情.md
Markdown
│ │ └─
财务数据.md
Markdown
│ ├─
▾
研报
│ │ ├─
基础数据.md
Markdown
│ │ ├─
投资评级.md
Markdown
│ │ └─
特色数据.md
Markdown
│ ├─
公告.md
Markdown
│ ├─
基础数据.md
Markdown
│ ├─
大模型语料.md
Markdown
│ └─
市场数据.md
Markdown
├─
▾
scripts
│ └─
call_api.js
JavaScript
├─
SKILL_EN.md
Markdown
└─
SKILL.md
Markdown
Security Positives
✓ API key is sanitized in error messages to prevent leakage (scripts/call_api.js:127-128)
✓ Uses native fetch API without external dependencies (no supply chain risk)
✓ No shell execution, subprocess, or eval patterns detected
✓ No credential exfiltration or sensitive path access
✓ Network requests limited to single known API endpoint (data-api.investoday.net)
✓ Proper timeout protection (30 seconds) prevents resource exhaustion
✓ Only outputs data field, not raw API response (reduces information disclosure)
✓ Clean error handling without leaking sensitive information