industry_research_report Security Report — Trusted | ClawSafe

5 /100

industry_research_report

依托东方财富数据库，为指定行业生成深度研究报告

东方财富行业研究报告生成工具，功能声明与实际行为一致，无恶意行为。

Skill Nameindustry_research_report

Duration32.6s

Enginepi

✓

Safe to install

可安全使用。建议：1) API Key 通过环境变量注入而非硬编码；2) 文档补充文件写入说明。

Findings 2 items

Severity	Finding	Location
Low	文档未声明文件写入能力 SKILL.md 仅说明脚本会生成报告，但未明确提及会将 PDF/DOCX 保存到本地文件系统。代码在 miaoxiang/industry_research_report/ 目录下写入文件，这是合理功能延伸。 `scripts/get_data.py --query "{{topic}}"` → 文档补充说明：'脚本会将 PDF 和 DOCX 格式的报告保存到本地目录'	`SKILL.md:42`
Info	API Key 示例占位符 SKILL.md 第44行包含示例 `EM_API_KEY="your_api_key_here"`，这是文档占位符而非真实凭证。代码正确从环境变量读取。 `EM_API_KEY="your_api_key_here"` → 无需修复，属于标准文档写法	`SKILL.md:44`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	SKILL.md:26 - 脚本调用接口获取数据
Filesystem	`NONE`	`WRITE`	✓ Aligned	scripts/get_data.py:69-72 - 将 base64 解码的 PDF/DOCX 写入本地目录
Environment	`READ`	`READ`	✓ Aligned	scripts/get_data.py:54 - 仅读取 EM_API_KEY 和 OUTPUT_DIR
Shell	`NONE`	`NONE`	—	代码无 subprocess/shell 执行

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:44

🔗

Medium External URL 外部 URL

https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/industry/research

scripts/get_data.py:75

2 files · 14.0 KB · 345 lines

Python 1f · 217L Markdown 1f · 128L

├─ ▾ 📁 scripts

│ └─ 🐍 get_data.py Python 217L · 9.9 KB

└─ 📝 SKILL.md Markdown 128L · 4.2 KB

Package	Version	Source	Known Vulns	Notes
`httpx`	`未指定`	pip	No	用于 HTTP 请求，功能正常

✓ 只与声明的 eastmoney.com 域名通信，无其他网络请求

✓ API Key 仅用于接口鉴权，未外传或泄露

✓ 无环境变量遍历、无凭证收割行为

✓ 无远程代码执行、无 base64|bash 管道

✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ httpx 依赖用于合法 HTTP 请求

✓ 代码结构清晰，错误处理完善