stock-query Security Report — Trusted | ClawSafe

5 /100

stock-query

全球股票/ETF/基金/指数实时行情查询与本地自选股管理工具

股票行情查询工具，功能完整、文档清晰、代码与声明一致，无恶意行为。

Skill Namestock-query

Duration32.7s

Enginepi

✓

Safe to install

可安全使用。

Findings 2 items

Severity	Finding	Location
Low	python3 依赖文档不一致 SKILL.md 前置依赖表仅列出 curl/iconv，但 fmt.sh 依赖 python3；skill.yaml 中有 python3。此差异不影响安全，属于文档完整性问题。 `SKILL.md 依赖表: curl, iconv \| skill.yaml requires.bins: [curl, iconv, python3]` → 在 SKILL.md 前置依赖表中补全 python3	`SKILL.md:1`
Info	pfile 命令实现路径文档差异 SKILL.md Command 1 描述 'bash scripts/sq.sh pfile' 获取路径，sq.sh 内部实现了 cmd_pfile 而非调用 portfolio.sh。功能行为一致，文档实现路径描述不够精确。 `cmd_pfile() { ... }` → 文档可说明 pfile 为 sq.sh 内置命令	`scripts/sq.sh:780`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	scripts/sq.sh:186,263,317,330,337,372,394 — 仅 curl 请求七个声明的中国金融数据源，无数据外传
Shell	`WRITE`	`WRITE`	✓ Aligned	scripts/sq.sh:15 — curl/grep/awk/mktemp 操作严格限定于 portfolio.csv 文件和金融 API 请求
Filesystem	`READ+WRITE`	`READ+WRITE`	✓ Aligned	scripts/portfolio.sh 全部操作仅针对固定路径的 portfolio.csv，无越权访问

10 findings

🔗

Medium External URL 外部 URL

https://qt.gtimg.cn/q=$1

scripts/sq.sh:186

🔗

Medium External URL 外部 URL

https://hq.sinajs.cn/list=$1

scripts/sq.sh:263

🔗

Medium External URL 外部 URL

https://finance.sina.com.cn

scripts/sq.sh:264

🔗

Medium External URL 外部 URL

https://web.ifzq.gtimg.cn/appstock/app/fqkline/get?param=$

scripts/sq.sh:317

🔗

Medium External URL 外部 URL

https://finance.eastmoney.com

scripts/sq.sh:329

🔗

Medium External URL 外部 URL

https://push2his.eastmoney.com/api/qt/stock/kline/get?secid=$

scripts/sq.sh:330

🔗

Medium External URL 外部 URL

https://push2.eastmoney.com/api/qt/stock/get?secid=$1&fields=f43

scripts/sq.sh:337

🔗

Medium External URL 外部 URL

http://fundgz.1234567.com.cn/js/$

scripts/sq.sh:372

🔗

Medium External URL 外部 URL

https://api.fund.eastmoney.com/f10/lsjz?fundCode=$

scripts/sq.sh:394

🔗

Medium External URL 外部 URL

https://fund.eastmoney.com

scripts/sq.sh:395

File Tree

6 files · 70.2 KB · 1791 lines

Shell 3f · 1329L Markdown 1f · 372L YAML 1f · 48L CSV 1f · 42L

├─ ▾ 📁 assets

│ └─ 📄 portfolio.csv CSV 42L · 2.0 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 fmt.sh Shell 289L · 10.3 KB

│ ├─ 🔧 portfolio.sh Shell 132L · 3.7 KB

│ └─ 🔧 sq.sh Shell 908L · 37.2 KB

├─ 📝 SKILL.md Markdown 372L · 14.8 KB

└─ 📋 skill.yaml YAML 48L · 2.3 KB

Security Positives

✓ 网络请求白名单明确：仅 7 个中国金融数据源（腾讯财经、新浪财经、东方财富），均为合法公开 API

✓ 文件访问严格限制：仅 portfolio.csv，路径固定在 ~/.openclaw/ 或 ~/.claude/ 下

✓ 无凭证收割：无任何代码访问 ~/.ssh、~/.aws、.env 或遍历环境变量

✓ 无远程代码执行：无 base64 管道、裸 IP 请求、eval(atob())、wget|bash 等高危模式

✓ 无隐藏指令：代码中无 HTML 注释或混淆载荷

✓ shell 工具用途合理：curl 获取行情、iconv GBK→UTF-8 转码、grep/awk/mktemp 文件操作，均在声明范围内

✓ portfolio.sh 提供完整的文件管理抽象，代码结构清晰

✓ 无第三方 pip/npm 依赖，无版本锁定风险

Scan Report

Findings 2 items

File Tree

Security Positives