扫描报告
5 /100
stock-decision
从共享记忆读取持仓,生成 A 股投资决策报告(止损/止盈/仓位管理)
stock-decision 是合法的 A 股投资决策工具,代码行为与 SKILL.md 声明完全一致,无恶意行为。
可以安装
可安全使用。建议在 requirements.txt 中锁定 requests 版本以提高稳定性。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | requests 依赖版本未锁定 | requirements.txt:1 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | skill.py:19 - from shared_memory_loader import get_latest_holdings |
| 网络访问 | READ | READ | ✓ 一致 | skill.py:45 - requests.get(url, headers=headers, timeout=5) |
| 文件系统 | WRITE | WRITE | ✓ 一致 | skill.py:181 - with open(output_file, 'w', encoding='utf-8') |
5 项发现
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/bot/v2/hook/xxx README.md:24 中危 外部 URL 外部 URL
https://docs.openclaw.ai SKILL.md:77 中危 外部 URL 外部 URL
https://discord.com/invite/clawd SKILL.md:78 中危 外部 URL 外部 URL
https://clawhub.ai/skills/stock-decision package.json:9 中危 外部 URL 外部 URL
https://qt.gtimg.cn/q= skill.py:45 目录结构
5 文件 · 10.3 KB · 374 行 Python 1f · 220L
Markdown 2f · 143L
JSON 1f · 10L
Text 1f · 1L
├─
package.json
JSON
├─
README.md
Markdown
├─
requirements.txt
Text
├─
SKILL.md
Markdown
└─
skill.py
Python
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | 无版本锁定,建议指定最低版本 |
安全亮点
✓ 代码结构清晰,分离了 MarketData、DecisionEngine、ReportGenerator 职责
✓ 所有外部 URL 均为合法股票数据源(腾讯行情 API)和飞书通知,无可疑端点
✓ 报告输出到 ~/.openclaw/decisions/ 隔离目录,不污染工作区
✓ 实现了 fallback 机制(备用价格数据),代码健壮性良好
✓ 声明的环境变量 FEISHU_WEBHOOK 仅在 SKILL.md 中提及,代码中实际未使用(非越权行为)