中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 12/100
Last scan:2 hr ago Rescan
12 /100
yahooclaw
Yahoo Finance API integration for OpenClaw - 股票数据查询技能
功能正常的 Yahoo Finance API 集成技能,核心代码无恶意行为,仅测试文件包含硬编码 API 密钥(不影响生产环境)。
Skill Nameyahooclaw
Duration40.4s
Enginepi
ClawHub Yahoo Claw v0.1.7 by leohuang8688
📥 234 📦 2 ⭐ 1
ClawHub Verdict Suspicious env_credential_accessllm_suspiciousvt_suspicious
Safe to install
建议删除 test-alpha.js 等测试文件中的硬编码 API 密钥,保持代码库清洁。

Findings 2 items

Severity Finding Location
Low
测试文件包含硬编码 API 密钥 Supply Chain
test-alpha.js:10 包含 Alpha Vantage 测试 API 密钥 '9Z6PTPL7AB5M5DN3'。这是测试文件,不影响生产代码,但应清理以避免混淆。
apiKey: '9Z6PTPL7AB5M5DN3'
→ 删除或移动到 .env 文件,测试文件不应提交到代码库
 test-alpha.js:10
Info
文档声称 SQLite 缓存但未实现 Doc Mismatch
SKILL.md 声明 'Local SQLite database storage (optional caching)',但实际代码使用 Map 内存缓存,功能等效但实现不同。
this.cache = new Map();
→ 更新 SKILL.md 说明使用内存缓存或移除 SQLite 声明
 src/api/APIManager.js:48
ResourceDeclaredInferredStatusEvidence
Network READ READ ✓ Aligned src/api/AlphaVantage.js:14 仅访问 Alpha Vantage HTTPS API
Filesystem WRITE NONE ✓ Aligned SKILL.md 声明 SQLite 缓存,实际代码仅使用内存 Map (src/api/APIManager.js:48)
Shell NONE NONE 全代码库无 subprocess/spawn/exec 调用
Environment READ READ ✓ Aligned src/api/AlphaVantage.js:11 正确使用 process.env.ALPHA_VANTAGE_API_KEY
1 High 13 findings
🔑
High API Key 疑似硬编码凭证
apiKey: '9Z6PTPL7AB5M5DN3'
test-alpha.js:10
🔗
Medium External URL 外部 URL
https://img.shields.io/github/v/tag/leohuang8688/yahooclaw?label=version&color=green
README-CN.md:5
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/License-MIT-yellow.svg
README-CN.md:6
🔗
Medium External URL 外部 URL
https://opensource.org/licenses/MIT
README-CN.md:6
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-blue
README-CN.md:7
🔗
Medium External URL 外部 URL
https://finance.yahoo.com/news/...
README-CN.md:262
🔗
Medium External URL 外部 URL
https://finance.yahoo.com/
README-CN.md:437
🔗
Medium External URL 外部 URL
https://www.alphavantage.co/
README-CN.md:439
🔗
Medium External URL 外部 URL
https://discord.gg/clawd
README-CN.md:449
🔗
Medium External URL 外部 URL
https://www.alphavantage.co/support/#api-key
README.md:59
🔗
Medium External URL 外部 URL
https://docs.openclaw.ai/
SKILL.md:153
🔗
Medium External URL 外部 URL
https://www.alphavantage.co/support/
docs/API-CONFIGURATION.md:281
🔗
Medium External URL 外部 URL
https://www.alphavantage.co/query
src/api/AlphaVantage.js:14

File Tree

22 files · 92.4 KB · 3720 lines
JavaScript 14f · 2012L Markdown 7f · 1671L JSON 1f · 37L
├─ 📁 docs
│ ├─ 📝 API-CONFIGURATION.md Markdown 286L · 6.2 KB
│ └─ 📝 USAGE-SCENARIOS.md Markdown 373L · 7.5 KB
├─ 📁 src
│ ├─ 📁 api
│ │ ├─ 📜 AlphaVantage.js JavaScript 264L · 7.6 KB
│ │ └─ 📜 APIManager.js JavaScript 204L · 4.9 KB
│ ├─ 📁 modules
│ │ ├─ 📜 History.js JavaScript 113L · 2.4 KB
│ │ ├─ 📜 News.js JavaScript 169L · 4.5 KB
│ │ ├─ 📜 Quote.js JavaScript 81L · 2.3 KB
│ │ ├─ 📜 Technical.js JavaScript 389L · 10.8 KB
│ │ └─ 📜 YahooFinanceAdapter.js JavaScript 177L · 4.0 KB
│ └─ 📜 index.js JavaScript 85L · 2.0 KB
├─ 📁 test
│ └─ 📜 test-modules.js JavaScript 134L · 3.9 KB
├─ 📜 demo.js JavaScript 45L · 1.4 KB
├─ 📋 package.json JSON 37L · 846 B
├─ 📝 README-CN.md Markdown 453L · 10.9 KB
├─ 📝 README.md Markdown 139L · 3.3 KB
├─ 📝 SECURITY.md Markdown 69L · 1.4 KB
├─ 📝 SKILL.md Markdown 178L · 4.3 KB
├─ 📝 TEST_REPORT.md Markdown 173L · 3.4 KB
├─ 📜 test-alpha.js JavaScript 40L · 1.1 KB
├─ 📜 test-full.js JavaScript 159L · 4.9 KB
├─ 📜 test-integration.js JavaScript 109L · 3.2 KB
└─ 📜 test-tsla.js JavaScript 43L · 1.5 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
yahoo-finance2 ^2.11.3 npm No 有版本锁定,官方维护
dotenv ^17.3.1 npm No 有版本锁定,用于环境变量管理

Security Positives

✓ 核心代码无 shell 执行、subprocess 或任何系统命令调用
✓ 所有网络请求使用 HTTPS,合法的 Yahoo Finance 和 Alpha Vantage API
✓ API 密钥通过环境变量读取,未硬编码在核心模块中
✓ 依赖项均有语义化版本锁定
✓ 无凭证收割、环境变量遍历或敏感路径访问
✓ 无 Base64 编码、eval 或任何代码混淆
✓ 无外部 IP 直连或可疑 C2 通信
✓ 开源可审计,代码结构清晰