mx-skills-suite 安全扫描报告 — 可信 | ClawSafe

5 /100

mx-skills-suite

东方财富妙想金融技能套件 - 提供金融数据查询、资讯搜索、智能选股、自选股管理和模拟交易功能

东方财富妙想金融技能套件为合法金融数据查询工具，所有代码行为与声明一致，无恶意行为。

技能名称mx-skills-suite

分析耗时43.3s

引擎pi

✓

可以安装

可直接使用。该技能已通过安全审查，所有网络请求仅指向官方域名 mkapi2.dfcfs.com，无凭证外泄、无远程代码执行、无数据窃取行为。

安全发现 3 项

严重性	安全发现	位置
提示	API Key 认证机制所有脚本通过环境变量 MX_APIKEY 认证，与 SKILL.md 声明一致 `self.api_key = api_key or os.getenv("MX_APIKEY")` → 无需修复	`scripts/*.py`
提示	固定输出目录所有输出文件写入 /root/.openclaw/workspace/mx_data/output/ 目录，无目录遍历风险 `output_dir = Path("/root/.openclaw/workspace/mx_data/output")` → 无需修复	`scripts/*.py`
提示	官方域名白名单所有 API 请求仅发往 mkapi2.dfcfs.com 官方域名，无第三方通信 `BASE_URL = "https://mkapi2.dfcfs.com/finskillshub/api/claw/query"` → 无需修复	`scripts/*.py`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	所有脚本写入 /root/.openclaw/workspace/mx_data/output/ 目录，生成 Excel/CSV/TXT/JSON 文件
网络访问	`WRITE`	`WRITE`	✓ 一致	所有 POST 请求发往官方域名 https://mkapi2.dfcfs.com/finskillshub，无第三方通信
命令执行	`NONE`	`NONE`	—	代码中无 subprocess/popen/os.system 调用
环境变量	`READ`	`READ`	✓ 一致	读取 MX_APIKEY 环境变量（合法用途：认证东方财富 API）
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器自动化代码
数据库	`NONE`	`NONE`	—	无数据库连接代码
技能调用	`NONE`	`NONE`	—	无跨技能调用代码

12 项发现

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub

README.md:3

🔗

中危外部 URL 外部 URL

https://marketing.dfcfs.com/views/mktemplate/route1?activityId=738&appfenxiang=1

README.md:23

🔗

中危外部 URL 外部 URL

https://dl.dfcfs.com/m/itc4

README.md:147

🔗

中危外部 URL 外部 URL

https://marketing.dfcfs.com/views/mktemplate/route1?activityId=738&appfenxiang=1**

SKILL.md:43

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/query

references/mx-data.md:11

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/news-search

references/mx-search.md:11

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/stock-screen

references/mx-select-stock.md:7

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/self-select/get

references/mx-selfselect.md:15

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/self-select/manage

references/mx-selfselect.md:21

🔗

中危外部 URL 外部 URL

https://dl.dfcfs.com/m/itc4**

references/mx-stock-simulator.md:8

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/mockTrading/positions

references/mx-stock-simulator.md:35

🔗

中危外部 URL 外部 URL

https://mkapi2.dfcfs.com/finskillshub/api/claw/mockTrading/trade

references/mx-stock-simulator.md:80

目录结构

13 文件 · 82.6 KB · 2294 行

Python 5f · 1459L Markdown 7f · 832L Text 1f · 3L

├─ ▾ 📁 references

│ ├─ 📝 mx-data.md Markdown 116L · 4.5 KB

│ ├─ 📝 mx-search.md Markdown 86L · 2.8 KB

│ ├─ 📝 mx-select-stock.md Markdown 94L · 3.4 KB

│ ├─ 📝 mx-selfselect.md Markdown 110L · 3.2 KB

│ └─ 📝 mx-stock-simulator.md Markdown 164L · 5.3 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 mx_data.py Python 375L · 14.1 KB

│ ├─ 🐍 mx_search.py Python 198L · 6.7 KB

│ ├─ 🐍 mx_select_stock.py Python 260L · 9.5 KB

│ ├─ 🐍 mx_self_select.py Python 243L · 8.8 KB

│ ├─ 🐍 mx_stock_simulator.py Python 383L · 13.8 KB

│ └─ 📄 requirements.txt Text 3L · 47 B

├─ 📝 README.md Markdown 161L · 5.7 KB

└─ 📝 SKILL.md Markdown 101L · 4.8 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`requests`	`>=2.31.0`	pip	否	使用通配符版本约束，但无版本锁定风险可被利用
`pandas`	`>=1.5.0`	pip	否	使用通配符版本约束
`openpyxl`	`>=3.1.0`	pip	否	使用通配符版本约束

安全亮点

✓ 声明-行为完全一致：所有 SKILL.md 声明的功能在代码中均有对应实现

✓ 网络请求完全隔离：仅与官方域名 mkapi2.dfcfs.com 通信

✓ 无 shell 执行：无 subprocess/popen/os.system 等危险调用

✓ 无凭证外泄：MX_APIKEY 仅用于本地认证，不会上传

✓ 无数据窃取：所有数据处理均在本地完成，无外传行为

✓ 输出目录固定：避免路径遍历攻击

✓ 依赖版本有约束：requirements.txt 指定了最低版本要求

✓ 代码质量良好：结构清晰，有类型注解和文档字符串