odds-movement-monitor 安全扫描报告 — 低风险 | ClawSafe

20 /100

odds-movement-monitor

盘口变化监控助手 - 实时监控体育博彩盘口变化

该技能为合法的体育盘口监控工具，主要风险点是 payment.py 中硬编码了 API 密钥，但无恶意行为证据

技能名称odds-movement-monitor

分析耗时27.9s

引擎pi

✓

可以安装

移除 payment.py 中硬编码的 API Key，改用环境变量 SKILLPAY_API_KEY，可信使用

安全发现 2 项

严重性	安全发现	位置
中危	硬编码 API Key 泄露风险 payment.py 中硬编码了真实的 SkillPay API Key，该密钥被提交到版本控制，存在泄露后被滥用的风险 `BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"` → 使用环境变量 os.getenv('SKILLPAY_API_KEY') 替代硬编码	`payment.py:12`
低危	导入路径使用硬编码路径 demo.py 中使用硬编码的绝对路径导入模块，可能在不同环境下失效 `sys.path.insert(0, '~/.openclaw/workspace/skills/odds-movement-monitor')` → 使用相对导入或确保路径存在	`demo.py:4`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	代码仅读写本地 SQLite 数据库用于存储赔率数据
网络访问	`READ`	`READ`	✓ 一致	仅访问 the-odds-api.com 和 skillpay.me
命令执行	`NONE`	`NONE`	—	无 shell 执行

2 高危 5 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_api_key_here"

README.md:24

🔑

高危 API 密钥疑似硬编码凭证

API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"

payment.py:12

🔗

中危外部 URL 外部 URL

https://the-odds-api.com/

README.md:27

🔗

中危外部 URL 外部 URL

https://api.the-odds-api.com/v4

config.json:15

🔗

中危外部 URL 外部 URL

https://skillpay.me

payment.py:11

目录结构

10 文件 · 55.1 KB · 1719 行

Python 5f · 1432L Markdown 2f · 217L JSON 2f · 68L Text 1f · 2L

├─ 🐍 __init__.py Python 26L · 555 B

├─ 📋 _meta.json JSON 19L · 442 B

├─ 🐍 change_detector.py Python 444L · 15.0 KB

├─ 🔑 config.json ⚠ JSON 49L · 1.5 KB

├─ 🐍 demo.py Python 223L · 7.7 KB

├─ 🐍 monitor.py Python 597L · 19.5 KB

├─ 🐍 payment.py Python 142L · 5.2 KB

├─ 📝 README.md Markdown 91L · 1.8 KB

├─ 📄 requirements.txt Text 2L · 32 B

└─ 📝 SKILL.md Markdown 126L · 3.4 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`aiohttp`	`>=3.8.0`	pip	否	无版本锁定
`requests`	`>=2.28.0`	pip	否	无版本锁定

安全亮点

✓ 功能代码结构清晰，无明显的凭证收割或数据外泄行为

✓ 网络请求仅指向合法域名 (the-odds-api.com, skillpay.me)

✓ 数据存储使用本地 SQLite 数据库，无外部数据泄露

✓ 无 shell 命令执行、eval 动态代码执行等高危操作

✓ 无访问敏感路径 (~/.ssh, ~/.aws, .env 等)