Scan Report
20 /100
odds-movement-monitor
盘口变化监控助手 - 实时监控体育博彩盘口变化
该技能为合法的体育盘口监控工具,主要风险点是 payment.py 中硬编码了 API 密钥,但无恶意行为证据
Safe to install
移除 payment.py 中硬编码的 API Key,改用环境变量 SKILLPAY_API_KEY,可信使用
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Medium | 硬编码 API Key 泄露风险 | payment.py:12 |
| Low | 导入路径使用硬编码路径 | demo.py:4 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | READ | READ | ✓ Aligned | 代码仅读写本地 SQLite 数据库用于存储赔率数据 |
| Network | READ | READ | ✓ Aligned | 仅访问 the-odds-api.com 和 skillpay.me |
| Shell | NONE | NONE | — | 无 shell 执行 |
2 High 5 findings
High API Key 疑似硬编码凭证
API_KEY="your_api_key_here" README.md:24 High API Key 疑似硬编码凭证
API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2" payment.py:12 Medium External URL 外部 URL
https://the-odds-api.com/ README.md:27 Medium External URL 外部 URL
https://api.the-odds-api.com/v4 config.json:15 Medium External URL 外部 URL
https://skillpay.me payment.py:11 File Tree
10 files · 55.1 KB · 1719 lines Python 5f · 1432L
Markdown 2f · 217L
JSON 2f · 68L
Text 1f · 2L
├─
__init__.py
Python
├─
_meta.json
JSON
├─
change_detector.py
Python
├─
config.json
⚠
JSON
├─
demo.py
Python
├─
monitor.py
Python
├─
payment.py
Python
├─
README.md
Markdown
├─
requirements.txt
Text
└─
SKILL.md
Markdown
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
aiohttp | >=3.8.0 | pip | No | 无版本锁定 |
requests | >=2.28.0 | pip | No | 无版本锁定 |
Security Positives
✓ 功能代码结构清晰,无明显的凭证收割或数据外泄行为
✓ 网络请求仅指向合法域名 (the-odds-api.com, skillpay.me)
✓ 数据存储使用本地 SQLite 数据库,无外部数据泄露
✓ 无 shell 命令执行、eval 动态代码执行等高危操作
✓ 无访问敏感路径 (~/.ssh, ~/.aws, .env 等)