中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
mx_finance_data
基于东方财富数据库的金融数据查询工具,支持自然语言查询股票、基金、债券等金融数据
功能完整的金融数据查询工具,代码行为与文档声明一致,无敏感操作或越权行为。
技能名称mx_finance_data
分析耗时23.7s
引擎pi
可以安装
可直接使用。注意妥善保管 EM_API_KEY,不要在代码中硬编码。

安全发现 1 项

严重性 安全发现 位置
低危
文档占位符提示
SKILL.md 中包含 your_api_key_here 示例占位符,但明确标注为需要用户替换的示例,非真实凭证
export EM_API_KEY="your_api_key_here"
→ 保持现状,这是标准文档示例格式
 SKILL.md:104
资源类型声明权限推断权限状态证据
文件系统 NONE WRITE ✓ 一致 SKILL.md未声明,但代码创建输出目录和Excel文件为查询必需功能
网络访问 READ READ ✓ 一致 代码仅通过httpx向 https://ai-saas.eastmoney.com 发送请求,无越权通信
1 高危 3 项发现
🔑
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here"
SKILL.md:104
🔗
中危 外部 URL 外部 URL
https://ai.eastmoney.com/mxClaw
SKILL.md:27
🔗
中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com/proxy/b/mcp/tool/searchData
scripts/get_data.py:73

目录结构

2 文件 · 28.8 KB · 773 行
Python 1f · 624L Markdown 1f · 149L
├─ 📁 scripts
│ └─ 🐍 get_data.py Python 624L · 24.0 KB
└─ 📝 SKILL.md Markdown 149L · 4.9 KB

依赖分析 3 项

包名版本来源已知漏洞备注
httpx * pip 无版本锁定,但为可信库
pandas * pip 无版本锁定
openpyxl * pip 无版本锁定

安全亮点

✓ 代码结构清晰,功能单一且明确
✓ API 密钥通过环境变量获取,不在代码中硬编码
✓ 仅访问东方财富官方 API 端点,无外部 IP 通信
✓ 完整的错误处理和异常捕获
✓ 使用 httpx 替代 requests(更现代的异步 HTTP 库)
✓ 文档详细说明了安全使用方式和前提条件