扫描报告
0 /100
mx_stocks_screener
东方财富妙想选股工具,支持A股/港股/美股/基金/ETF/可转债/板块的自然语言筛选
东方财富选股工具,代码与文档声明一致,无恶意行为,仅调用官方API进行股票筛选并输出CSV文件。
可以安装
可直接使用。SKILL.md:78的API_KEY是文档占位符示例,非真实凭证泄露。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | scripts/get_data.py:280-289 调用 eastmoney API |
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/get_data.py:260-262 创建CSV和描述文件 |
| 环境变量 | READ | READ | ✓ 一致 | scripts/get_data.py:47 仅读取EM_API_KEY |
| 命令执行 | NONE | NONE | — | 无subprocess调用 |
1 高危 3 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your_api_key_here" SKILL.md:78 中危 外部 URL 外部 URL
https://ai.eastmoney.com/mxClaw SKILL.md:31 中危 外部 URL 外部 URL
https://ai-saas.eastmoney.com/proxy/b/mcp/tool/selectSecurity scripts/get_data.py:74 目录结构
2 文件 · 22.1 KB · 600 行 Python 1f · 432L
Markdown 1f · 168L
├─
▾
scripts
│ └─
get_data.py
Python
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
httpx | * | pip | 否 | 无版本锁定但风险低(仅HTTP客户端) |
安全亮点
✓ 功能与文档声明完全一致,无影子功能
✓ 仅使用声明的EM_API_KEY环境变量
✓ 网络请求指向东方财富官方API (ai-saas.eastmoney.com)
✓ 无凭证收割、环境变量遍历等高危行为
✓ 无shell执行、无敏感路径访问
✓ 依赖简单(仅httpx),无版本锁定风险极低