stock-decision 安全扫描报告 — 低风险 | ClawSafe

10 /100

stock-decision

从共享记忆读取持仓，生成 A 股投资决策报告（止损/止盈/仓位管理）

A 股投资决策助手，功能声明与实现一致，仅调用腾讯财经API获取股价，无敏感操作。

技能名称stock-decision

分析耗时28.9s

引擎pi

✓

可以安装

可直接使用。requests 无版本锁定建议补充版本约束。

安全发现 2 项

严重性	安全发现	位置
低危	requests 依赖无版本锁定 requirements.txt 仅有 'requests'，缺少版本约束。建议锁定版本以防止依赖投毒攻击。 `requests` → 修改为 requests>=2.31.0 或具体版本号	`requirements.txt:1`
低危	FEISHU_WEBHOOK 声明但未使用 SKILL.md 声明使用飞书 webhook 环境变量，但 skill.py 代码中未发现实际调用，可能为预留功能。 `export FEISHU_WEBHOOK="https://open.feishu.cn/..."` → 如无飞书通知需求，从文档中移除该配置说明	`SKILL.md:49`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	skill.py:153 读取 SHARED_MEMORY.md；skill.py:161 写入 ~/.openclaw/decisions/
网络访问	`READ`	`READ`	✓ 一致	skill.py:45 请求腾讯财经 qt.gtimg.cn 获取实时股价
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system 调用
环境变量	`NONE`	`READ`	✓ 一致	仅读取 FEISHU_WEBHOOK 但未实际使用
技能调用	`NONE`	`NONE`	—	无动态技能加载

5 项发现

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/bot/v2/hook/xxx

README.md:24

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai

SKILL.md:77

🔗

中危外部 URL 外部 URL

https://discord.com/invite/clawd

SKILL.md:78

🔗

中危外部 URL 外部 URL

https://clawhub.ai/skills/stock-decision

package.json:9

🔗

中危外部 URL 外部 URL

https://qt.gtimg.cn/q=

skill.py:45

目录结构

6 文件 · 10.4 KB · 379 行

Python 1f · 220L Markdown 2f · 143L JSON 2f · 15L Text 1f · 1L

├─ 📋 _meta.json JSON 5L · 141 B

├─ 📋 package.json JSON 10L · 325 B

├─ 📝 README.md Markdown 65L · 1.2 KB

├─ 📄 requirements.txt Text 1L · 9 B

├─ 📝 SKILL.md Markdown 78L · 1.7 KB

└─ 🐍 skill.py Python 220L · 7.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议锁定为 requests>=2.31.0

安全亮点

✓ 声明功能与代码实现完全一致，无阴影功能

✓ 网络请求指向合法金融数据源（腾讯财经 API）

✓ 无 shell 执行、无凭证收割、无敏感路径访问

✓ 报告输出到隔离目录 ~/.openclaw/decisions/

✓ 代码结构清晰，使用标准库和 requests