mx_finance_data Security Report — Trusted | ClawSafe

5 /100

mx_finance_data

基于东方财富数据库的金融数据查询工具，支持自然语言查询股票、基金、债券等金融数据

功能完整的金融数据查询工具，代码行为与文档声明一致，无敏感操作或越权行为。

Skill Namemx_finance_data

Duration23.7s

Enginepi

✓

Safe to install

可直接使用。注意妥善保管 EM_API_KEY，不要在代码中硬编码。

Findings 1 items

Severity	Finding	Location
Low	文档占位符提示 SKILL.md 中包含 your_api_key_here 示例占位符，但明确标注为需要用户替换的示例，非真实凭证 `export EM_API_KEY="your_api_key_here"` → 保持现状，这是标准文档示例格式	`SKILL.md:104`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	SKILL.md未声明，但代码创建输出目录和Excel文件为查询必需功能
Network	`READ`	`READ`	✓ Aligned	代码仅通过httpx向 https://ai-saas.eastmoney.com 发送请求，无越权通信

1 High 3 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:104

🔗

Medium External URL 外部 URL

https://ai.eastmoney.com/mxClaw

SKILL.md:27

🔗

Medium External URL 外部 URL

https://ai-saas.eastmoney.com/proxy/b/mcp/tool/searchData

scripts/get_data.py:73

2 files · 28.8 KB · 773 lines

Python 1f · 624L Markdown 1f · 149L

├─ ▾ 📁 scripts

│ └─ 🐍 get_data.py Python 624L · 24.0 KB

└─ 📝 SKILL.md Markdown 149L · 4.9 KB

Package	Version	Source	Known Vulns	Notes
`httpx`	`*`	pip	No	无版本锁定，但为可信库
`pandas`	`*`	pip	No	无版本锁定
`openpyxl`	`*`	pip	No	无版本锁定

✓ 代码结构清晰，功能单一且明确

✓ API 密钥通过环境变量获取，不在代码中硬编码

✓ 仅访问东方财富官方 API 端点，无外部 IP 通信

✓ 完整的错误处理和异常捕获

✓ 使用 httpx 替代 requests（更现代的异步 HTTP 库）

✓ 文档详细说明了安全使用方式和前提条件