Name: yahooclaw 安全扫描报告 — 可信 | ClawSafe
Item: yahooclaw
Rating: 88
Author: ClawSafe

12 /100

yahooclaw

Yahoo Finance API integration for OpenClaw - 股票数据查询技能

功能正常的 Yahoo Finance API 集成技能，核心代码无恶意行为，仅测试文件包含硬编码 API 密钥（不影响生产环境）。

技能名称yahooclaw

分析耗时40.4s

引擎pi

ClawHub Yahoo Claw v0.1.7 by leohuang8688

📥 234 📦 2 ⭐ 1

ClawHub 判定可疑 env_credential_accessllm_suspiciousvt_suspicious

✓

可以安装

建议删除 test-alpha.js 等测试文件中的硬编码 API 密钥，保持代码库清洁。

安全发现 2 项

严重性	安全发现	位置
低危	测试文件包含硬编码 API 密钥供应链 test-alpha.js:10 包含 Alpha Vantage 测试 API 密钥 '9Z6PTPL7AB5M5DN3'。这是测试文件，不影响生产代码，但应清理以避免混淆。 `apiKey: '9Z6PTPL7AB5M5DN3'` → 删除或移动到 .env 文件，测试文件不应提交到代码库	`test-alpha.js:10`
提示	文档声称 SQLite 缓存但未实现文档欺骗 SKILL.md 声明 'Local SQLite database storage (optional caching)'，但实际代码使用 Map 内存缓存，功能等效但实现不同。 `this.cache = new Map();` → 更新 SKILL.md 说明使用内存缓存或移除 SQLite 声明	`src/api/APIManager.js:48`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	src/api/AlphaVantage.js:14 仅访问 Alpha Vantage HTTPS API
文件系统	`WRITE`	`NONE`	✓ 一致	SKILL.md 声明 SQLite 缓存，实际代码仅使用内存 Map (src/api/APIManager.js:48)
命令执行	`NONE`	`NONE`	—	全代码库无 subprocess/spawn/exec 调用
环境变量	`READ`	`READ`	✓ 一致	src/api/AlphaVantage.js:11 正确使用 process.env.ALPHA_VANTAGE_API_KEY

1 高危 13 项发现

🔑

高危 API 密钥疑似硬编码凭证

apiKey: '9Z6PTPL7AB5M5DN3'

test-alpha.js:10

🔗

中危外部 URL 外部 URL

https://img.shields.io/github/v/tag/leohuang8688/yahooclaw?label=version&color=green

README-CN.md:5

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README-CN.md:6

🔗

中危外部 URL 外部 URL

https://opensource.org/licenses/MIT

README-CN.md:6

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/OpenClaw-Skill-blue

README-CN.md:7

🔗

中危外部 URL 外部 URL

https://finance.yahoo.com/news/...

README-CN.md:262

🔗

中危外部 URL 外部 URL

https://finance.yahoo.com/

README-CN.md:437

🔗

中危外部 URL 外部 URL

https://www.alphavantage.co/

README-CN.md:439

🔗

中危外部 URL 外部 URL

https://discord.gg/clawd

README-CN.md:449

🔗

中危外部 URL 外部 URL

https://www.alphavantage.co/support/#api-key

README.md:59

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai/

SKILL.md:153

🔗

中危外部 URL 外部 URL

https://www.alphavantage.co/support/

docs/API-CONFIGURATION.md:281

🔗

中危外部 URL 外部 URL

https://www.alphavantage.co/query

src/api/AlphaVantage.js:14

目录结构

22 文件 · 92.4 KB · 3720 行

JavaScript 14f · 2012L Markdown 7f · 1671L JSON 1f · 37L

├─ ▾ 📁 docs

│ ├─ 📝 API-CONFIGURATION.md Markdown 286L · 6.2 KB

│ └─ 📝 USAGE-SCENARIOS.md Markdown 373L · 7.5 KB

├─ ▾ 📁 src

│ ├─ ▾ 📁 api

│ │ ├─ 📜 AlphaVantage.js JavaScript 264L · 7.6 KB

│ │ └─ 📜 APIManager.js JavaScript 204L · 4.9 KB

│ ├─ ▾ 📁 modules

│ │ ├─ 📜 History.js JavaScript 113L · 2.4 KB

│ │ ├─ 📜 News.js JavaScript 169L · 4.5 KB

│ │ ├─ 📜 Quote.js JavaScript 81L · 2.3 KB

│ │ ├─ 📜 Technical.js JavaScript 389L · 10.8 KB

│ │ └─ 📜 YahooFinanceAdapter.js JavaScript 177L · 4.0 KB

│ └─ 📜 index.js JavaScript 85L · 2.0 KB

├─ ▾ 📁 test

│ └─ 📜 test-modules.js JavaScript 134L · 3.9 KB

├─ 📜 demo.js JavaScript 45L · 1.4 KB

├─ 📋 package.json JSON 37L · 846 B

├─ 📝 README-CN.md Markdown 453L · 10.9 KB

├─ 📝 README.md Markdown 139L · 3.3 KB

├─ 📝 SECURITY.md Markdown 69L · 1.4 KB

├─ 📝 SKILL.md Markdown 178L · 4.3 KB

├─ 📝 TEST_REPORT.md Markdown 173L · 3.4 KB

├─ 📜 test-alpha.js JavaScript 40L · 1.1 KB

├─ 📜 test-full.js JavaScript 159L · 4.9 KB

├─ 📜 test-integration.js JavaScript 109L · 3.2 KB

└─ 📜 test-tsla.js JavaScript 43L · 1.5 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`yahoo-finance2`	`^2.11.3`	npm	否	有版本锁定，官方维护
`dotenv`	`^17.3.1`	npm	否	有版本锁定，用于环境变量管理

安全亮点

✓ 核心代码无 shell 执行、subprocess 或任何系统命令调用

✓ 所有网络请求使用 HTTPS，合法的 Yahoo Finance 和 Alpha Vantage API

✓ API 密钥通过环境变量读取，未硬编码在核心模块中

✓ 依赖项均有语义化版本锁定

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ 无 Base64 编码、eval 或任何代码混淆

✓ 无外部 IP 直连或可疑 C2 通信

✓ 开源可审计，代码结构清晰