okx-cex-skill-mp Security Report — Trusted | ClawSafe

5 /100

okx-cex-skill-mp

OKX Skills Marketplace - 浏览、安装、管理AI交易技能的市场平台

纯文档型技能，无内嵌脚本，仅作为OKX技能市场的使用指南，实际操作由外部npm包执行

Skill Nameokx-cex-skill-mp

Duration30.8s

Enginepi

✓

Safe to install

可使用，但需注意运行时依赖的@okx_ai/okx-trade-cli包未被纳入静态扫描范围

Findings 3 items

Severity	Finding	Location
Low	外部依赖包未纳入静态扫描此skill依赖@okx_ai/okx-trade-cli npm包实现所有功能，该包的代码未在当前skill目录中，无法进行静态安全审计 `npm install -g @okx_ai/okx-trade-cli` → 建议单独对@okx_ai/okx-trade-cli包进行源码审计	`SKILL.md:15`
Low	凭证存储方式未明确说明文档提到需要API凭证但未说明凭证存储位置和方式 `okx config init` → 明确说明凭证是否存储在本地文件或环境变量中	`SKILL.md:29`
Info	安装目标agent列表不透明 skill add会自动检测并安装到本地agent，但用户无法控制安装目标 `installs it to all detected agents` → 建议提供--target选项让用户选择安装目标	`SKILL.md:19`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:89 - 安装技能需写入agent skill目录
Network	`READ`	`READ`	✓ Aligned	SKILL.md:85 - 从OKX marketplace API下载skill
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:15 - 调用npm install和okx CLI命令
Environment	`NONE`	`NONE`	—	SKILL.md无相关操作
Skill Invoke	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:18-21 - skill add/install流程

1 findings

🔗

Medium External URL 外部 URL

https://www.okx.com

SKILL.md:8

1 files · 6.7 KB · 219 lines

Markdown 1f · 219L

└─ 📝 SKILL.md Markdown 219L · 6.7 KB

Package	Version	Source	Known Vulns	Notes
`@okx_ai/okx-trade-cli`	`*`	npm	No	外部CLI工具，未在skill目录内，无法静态审计

✓ 纯文档型skill，无内嵌恶意代码

✓ 文档完整清晰，功能边界明确

✓ 无base64管道、裸IP请求、eval等高危模式

✓ 文档-行为一致，无阴影功能