A股财务分析 Security Report — Trusted | ClawSafe

5 /100

A股财务分析

通过调用 Prana 平台上的远程 agent 完成 A股上市公司财务状况分析，生成交互式 HTML 报告

A股财务分析技能声明清晰、架构简洁，客户端脚本仅是薄封装器，仅做API请求无越权行为。

Skill NameA股财务分析

Duration42.1s

Enginepi

✓

Safe to install

该技能可安全使用。建议平台确保 claw-uat.ebonex.io 服务器端安全，避免API密钥滥用即可。

Findings 3 items

Severity	Finding	Location
Low	重试提示包含命令行片段脚本在达到重试上限时，stderr会输出包含 request_id 的后续重试命令（-r <request_id>）。用户可自行复制执行，属于正常提示而非越权。 `提示: 本轮尝试已达到上限；Prana 服务端任务可能仍需要较长时间才能完成。若希望继续等待同一任务的结果，请稍后执行继续尝试命令:node scripts/prana_skill_client.js -r <request_id>` → 非安全问题，但建议将提示改为「可使用 -r <request_id> 参数继续」而非直接打印完整命令，减少用户误执行风险。	`scripts/prana_skill_client.js:89-93; scripts/prana_skill_client.py:79-82:89`
Info	API端点仅限单一域名所有网络请求硬编码至 https://claw-uat.ebonex.io，无动态DNS解析、无未知第三方请求，符合预期。 `const DEFAULT_BASE_URL = "https://claw-uat.ebonex.io";` → 无需修改，架构清晰。	`scripts/prana_skill_client.js:12; scripts/prana_skill_client.py:18:12`
Info	Python脚本使用标准库无第三方依赖 prana_skill_client.py 仅使用 urllib、json、argparse 等标准库模块，无外部依赖引入。 `import argparse, json, os, socket, sys, time, uuid, urllib.error, urllib.request` → 无需修改，依赖管理干净。	`scripts/prana_skill_client.py:1-17:1`

Resource	Declared	Inferred	Status	Evidence
Network	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:17-21; scripts/prana_skill_client.js:52-65; scripts/prana_skill_client.…
Environment	`READ`	`READ`	✓ Aligned	SKILL.md:10; scripts/prana_skill_client.js:130; scripts/prana_skill_client.py:11…
Filesystem	`NONE`	`NONE`	—	两脚本均无任何文件读写操作
Shell	`NONE`	`NONE`	—	无subprocess/spawn等shell调用
Skill Invoke	`WRITE`	`WRITE`	✓ Aligned	通过POST /api/claw/agent-run调用远程agent，结果通过POST /api/claw/agent-result轮询

7 findings

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io/api/v2/api-keys

SKILL.md:15

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io/api/claw/agent-run

SKILL.md:17

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io/api/claw/agent-result

SKILL.md:19

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io/api/claw/skill-purchase-history-url

SKILL.md:21

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io/skill-purchase-history-url?pay_token=xxxxxxx

SKILL.md:199

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io

SKILL.md:218

🔗

Medium External URL 外部 URL

https://claw-uat.ebonex.io/

SKILL.md:221

File Tree

4 files · 28.8 KB · 604 lines

Markdown 1f · 223L JavaScript 1f · 163L Python 1f · 163L JSON 1f · 55L

├─ ▾ 📁 scripts

│ ├─ 📜 prana_skill_client.js JavaScript 163L · 5.1 KB

│ └─ 🐍 prana_skill_client.py Python 163L · 5.7 KB

├─ 📋 skill.json JSON 55L · 2.0 KB

└─ 📝 SKILL.md Markdown 223L · 15.9 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`Python标准库`	`内置`	stdlib	No	仅使用urllib、json、argparse、uuid、socket等标准库
`Node.js标准库`	`内置`	node_modules	No	仅使用crypto、node:util等Node.js内置模块

Security Positives

✓ 文档-代码一致性高：SKILL.md 声明的所有网络端点在脚本中均有对应实现

✓ API密钥管理规范：密钥从环境变量读取，不硬编码、不写入命令行参数、不外传

✓ 代码逻辑简洁透明：两个客户端脚本均为薄封装（thin wrapper），功能单一可审计

✓ 无文件I/O操作：脚本不读写任何文件，不访问敏感路径（~/.ssh、~/.aws、.env等）

✓ 无shell执行：无subprocess/spawn/os.system等shell调用

✓ 无凭证收割行为：不遍历环境变量匹配敏感关键字

✓ 无远程代码执行：无curl|bash管道、无eval、无base64解码执行

✓ skill.json 与 SKILL.md 声明完全一致，无越权声明

Scan Report

Findings 3 items

File Tree

Dependencies 2 items

Security Positives