industry_research_report 安全扫描报告 — 可信 | ClawSafe

5 /100

industry_research_report

依托东方财富数据库，为指定行业生成深度研究报告

东方财富行业研究报告生成工具，功能声明与实际行为一致，无恶意行为。

技能名称industry_research_report

分析耗时32.6s

引擎pi

✓

可以安装

可安全使用。建议：1) API Key 通过环境变量注入而非硬编码；2) 文档补充文件写入说明。

安全发现 2 项

严重性	安全发现	位置
低危	文档未声明文件写入能力 SKILL.md 仅说明脚本会生成报告，但未明确提及会将 PDF/DOCX 保存到本地文件系统。代码在 miaoxiang/industry_research_report/ 目录下写入文件，这是合理功能延伸。 `scripts/get_data.py --query "{{topic}}"` → 文档补充说明：'脚本会将 PDF 和 DOCX 格式的报告保存到本地目录'	`SKILL.md:42`
提示	API Key 示例占位符 SKILL.md 第44行包含示例 `EM_API_KEY="your_api_key_here"`，这是文档占位符而非真实凭证。代码正确从环境变量读取。 `EM_API_KEY="your_api_key_here"` → 无需修复，属于标准文档写法	`SKILL.md:44`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:26 - 脚本调用接口获取数据
文件系统	`NONE`	`WRITE`	✓ 一致	scripts/get_data.py:69-72 - 将 base64 解码的 PDF/DOCX 写入本地目录
环境变量	`READ`	`READ`	✓ 一致	scripts/get_data.py:54 - 仅读取 EM_API_KEY 和 OUTPUT_DIR
命令执行	`NONE`	`NONE`	—	代码无 subprocess/shell 执行

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_api_key_here"

SKILL.md:44

🔗

中危外部 URL 外部 URL

https://ai-saas.eastmoney.com/proxy/app-robo-advisor-api/assistant/write/industry/research

scripts/get_data.py:75

2 文件 · 14.0 KB · 345 行

Python 1f · 217L Markdown 1f · 128L

├─ ▾ 📁 scripts

│ └─ 🐍 get_data.py Python 217L · 9.9 KB

└─ 📝 SKILL.md Markdown 128L · 4.2 KB

包名	版本	来源	已知漏洞	备注
`httpx`	`未指定`	pip	否	用于 HTTP 请求，功能正常

✓ 只与声明的 eastmoney.com 域名通信，无其他网络请求

✓ API Key 仅用于接口鉴权，未外传或泄露

✓ 无环境变量遍历、无凭证收割行为

✓ 无远程代码执行、无 base64|bash 管道

✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ httpx 依赖用于合法 HTTP 请求

✓ 代码结构清晰，错误处理完善