中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
quotedance-market
全球市场投研情报官 - 专业市场分析日报
标准金融资讯聚合工具,所有功能与声明一致,无恶意行为发现
技能名称quotedance-market
分析耗时24.8s
引擎pi
可以安装
可安全使用,无需额外限制

安全发现 1 项

严重性 安全发现 位置
低危
curl降级机制超出声明
config.json中enableCurlFallback=true时,代码会通过execFileSync执行curl命令,属于shell:WRITE能力
return execFileSync('curl', args, { encoding: 'utf8', stdio: ['ignore', 'pipe', 'pipe'] });
→ SKILL.md中声明WebFetch时应说明可能使用curl作为fallback
 scripts/market-scan.js:143
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 scripts/market-scan.js:fetchJson/fetchText
命令执行 NONE WRITE ✓ 一致 scripts/market-scan.js:curlFetch函数使用execFileSync('curl',...)
文件系统 READ WRITE ✓ 一致 scripts/market-scan.js:saveSnapshot/writeNewsCache创建文件
14 项发现
🔗
中危 外部 URL 外部 URL
https://quotedance.api.gapgap.cc
SKILL.md:31
🔗
中危 外部 URL 外部 URL
https://query1.finance.yahoo.com/v7/finance/quote?symbols=
scripts/market-scan.js:233
🔗
中危 外部 URL 外部 URL
https://query2.finance.yahoo.com/v8/finance/chart/
scripts/market-scan.js:252
🔗
中危 外部 URL 外部 URL
https://stooq.com/q/l/?s=
scripts/market-scan.js:279
🔗
中危 外部 URL 外部 URL
https://feeds.bloomberg.com/markets/news.rss
scripts/market-scan.js:475
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=Bloomberg+market&hl=en-US&gl=US&ceid=US:en
scripts/market-scan.js:476
🔗
中危 外部 URL 外部 URL
https://feeds.reuters.com/reuters/businessNews
scripts/market-scan.js:482
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=Reuters+markets&hl=en-US&gl=US&ceid=US:en
scripts/market-scan.js:483
🔗
中危 外部 URL 外部 URL
https://wallstreetcn.com/rss
scripts/market-scan.js:489
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=%E5%8D%8E%E5%B0%94%E8%A1%97%E8%A7%81%E9%97%BB&hl=zh-CN&gl=CN&ceid=CN:zh-Hans
scripts/market-scan.js:490
🔗
中危 外部 URL 外部 URL
https://www.jin10.com/rss
scripts/market-scan.js:496
🔗
中危 外部 URL 外部 URL
https://news.google.com/rss/search?q=%E9%87%91%E5%8D%81%E6%95%B0%E6%8D%AE&hl=zh-CN&gl=CN&ceid=CN:zh-Hans
scripts/market-scan.js:497
🔗
中危 外部 URL 外部 URL
https://www.coindesk.com/arc/outboundfeeds/rss/
scripts/market-scan.js:502
🔗
中危 外部 URL 外部 URL
https://www.theblock.co/rss.xml
scripts/market-scan.js:506

目录结构

4 文件 · 31.2 KB · 1097 行
JavaScript 1f · 857L Markdown 1f · 201L JSON 2f · 39L
├─ 📁 scripts
│ └─ 📜 market-scan.js JavaScript 857L · 25.7 KB
├─ 📋 _meta.json JSON 5L · 136 B
├─ 🔑 config.json JSON 34L · 813 B
└─ 📝 SKILL.md Markdown 201L · 4.6 KB

安全亮点

✓ 代码结构清晰,所有函数功能与文档声明一致
✓ 无凭证收割、环境变量遍历等敏感操作
✓ 无base64/eval混淆或隐蔽网络通信
✓ 数据源均为知名金融/新闻机构(Yahoo、Bloomberg、Reuters等)
✓ 代理配置从环境变量读取,属常规做法
✓ 本地缓存机制合理,避免重复请求