mx-skills-suite Security Report — Trusted | ClawSafe

5 /100

mx-skills-suite

东方财富妙想金融技能套件 - 提供金融数据查询、资讯搜索、智能选股、自选股管理和模拟交易功能

东方财富妙想金融技能套件为合法金融数据查询工具，所有代码行为与声明一致，无恶意行为。

Skill Namemx-skills-suite

Duration43.3s

Enginepi

✓

Safe to install

可直接使用。该技能已通过安全审查，所有网络请求仅指向官方域名 mkapi2.dfcfs.com，无凭证外泄、无远程代码执行、无数据窃取行为。

Findings 3 items

Severity	Finding	Location
Info	API Key 认证机制所有脚本通过环境变量 MX_APIKEY 认证，与 SKILL.md 声明一致 `self.api_key = api_key or os.getenv("MX_APIKEY")` → 无需修复	`scripts/*.py`
Info	固定输出目录所有输出文件写入 /root/.openclaw/workspace/mx_data/output/ 目录，无目录遍历风险 `output_dir = Path("/root/.openclaw/workspace/mx_data/output")` → 无需修复	`scripts/*.py`
Info	官方域名白名单所有 API 请求仅发往 mkapi2.dfcfs.com 官方域名，无第三方通信 `BASE_URL = "https://mkapi2.dfcfs.com/finskillshub/api/claw/query"` → 无需修复	`scripts/*.py`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	所有脚本写入 /root/.openclaw/workspace/mx_data/output/ 目录，生成 Excel/CSV/TXT/JSON 文件
Network	`WRITE`	`WRITE`	✓ Aligned	所有 POST 请求发往官方域名 https://mkapi2.dfcfs.com/finskillshub，无第三方通信
Shell	`NONE`	`NONE`	—	代码中无 subprocess/popen/os.system 调用
Environment	`READ`	`READ`	✓ Aligned	读取 MX_APIKEY 环境变量（合法用途：认证东方财富 API）
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器自动化代码
Database	`NONE`	`NONE`	—	无数据库连接代码
Skill Invoke	`NONE`	`NONE`	—	无跨技能调用代码

12 findings

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub

README.md:3

🔗

Medium External URL 外部 URL

https://marketing.dfcfs.com/views/mktemplate/route1?activityId=738&appfenxiang=1

README.md:23

🔗

Medium External URL 外部 URL

https://dl.dfcfs.com/m/itc4

README.md:147

🔗

Medium External URL 外部 URL

https://marketing.dfcfs.com/views/mktemplate/route1?activityId=738&appfenxiang=1**

SKILL.md:43

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/query

references/mx-data.md:11

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/news-search

references/mx-search.md:11

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/stock-screen

references/mx-select-stock.md:7

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/self-select/get

references/mx-selfselect.md:15

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/self-select/manage

references/mx-selfselect.md:21

🔗

Medium External URL 外部 URL

https://dl.dfcfs.com/m/itc4**

references/mx-stock-simulator.md:8

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/mockTrading/positions

references/mx-stock-simulator.md:35

🔗

Medium External URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/mockTrading/trade

references/mx-stock-simulator.md:80

File Tree

13 files · 82.6 KB · 2294 lines

Python 5f · 1459L Markdown 7f · 832L Text 1f · 3L

├─ ▾ 📁 references

│ ├─ 📝 mx-data.md Markdown 116L · 4.5 KB

│ ├─ 📝 mx-search.md Markdown 86L · 2.8 KB

│ ├─ 📝 mx-select-stock.md Markdown 94L · 3.4 KB

│ ├─ 📝 mx-selfselect.md Markdown 110L · 3.2 KB

│ └─ 📝 mx-stock-simulator.md Markdown 164L · 5.3 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 mx_data.py Python 375L · 14.1 KB

│ ├─ 🐍 mx_search.py Python 198L · 6.7 KB

│ ├─ 🐍 mx_select_stock.py Python 260L · 9.5 KB

│ ├─ 🐍 mx_self_select.py Python 243L · 8.8 KB

│ ├─ 🐍 mx_stock_simulator.py Python 383L · 13.8 KB

│ └─ 📄 requirements.txt Text 3L · 47 B

├─ 📝 README.md Markdown 161L · 5.7 KB

└─ 📝 SKILL.md Markdown 101L · 4.8 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`requests`	`>=2.31.0`	pip	No	使用通配符版本约束，但无版本锁定风险可被利用
`pandas`	`>=1.5.0`	pip	No	使用通配符版本约束
`openpyxl`	`>=3.1.0`	pip	No	使用通配符版本约束

Security Positives

✓ 声明-行为完全一致：所有 SKILL.md 声明的功能在代码中均有对应实现

✓ 网络请求完全隔离：仅与官方域名 mkapi2.dfcfs.com 通信

✓ 无 shell 执行：无 subprocess/popen/os.system 等危险调用

✓ 无凭证外泄：MX_APIKEY 仅用于本地认证，不会上传

✓ 无数据窃取：所有数据处理均在本地完成，无外传行为

✓ 输出目录固定：避免路径遍历攻击

✓ 依赖版本有约束：requirements.txt 指定了最低版本要求

✓ 代码质量良好：结构清晰，有类型注解和文档字符串

Scan Report

Findings 3 items

File Tree

Dependencies 3 items

Security Positives