扫描报告
5 /100
stock-query
全球股票/ETF/基金/指数实时行情查询与本地自选股管理工具
股票行情查询工具,功能完整、文档清晰、代码与声明一致,无恶意行为。
可以安装
可安全使用。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | python3 依赖文档不一致 | SKILL.md:1 |
| 提示 | pfile 命令实现路径文档差异 | scripts/sq.sh:780 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | scripts/sq.sh:186,263,317,330,337,372,394 — 仅 curl 请求七个声明的中国金融数据源,无数据外传 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | scripts/sq.sh:15 — curl/grep/awk/mktemp 操作严格限定于 portfolio.csv 文件和金融 API 请求 |
| 文件系统 | READ+WRITE | READ+WRITE | ✓ 一致 | scripts/portfolio.sh 全部操作仅针对固定路径的 portfolio.csv,无越权访问 |
10 项发现
中危 外部 URL 外部 URL
https://qt.gtimg.cn/q=$1 scripts/sq.sh:186 中危 外部 URL 外部 URL
https://hq.sinajs.cn/list=$1 scripts/sq.sh:263 中危 外部 URL 外部 URL
https://finance.sina.com.cn scripts/sq.sh:264 中危 外部 URL 外部 URL
https://web.ifzq.gtimg.cn/appstock/app/fqkline/get?param=$ scripts/sq.sh:317 中危 外部 URL 外部 URL
https://finance.eastmoney.com scripts/sq.sh:329 中危 外部 URL 外部 URL
https://push2his.eastmoney.com/api/qt/stock/kline/get?secid=$ scripts/sq.sh:330 中危 外部 URL 外部 URL
https://push2.eastmoney.com/api/qt/stock/get?secid=$1&fields=f43 scripts/sq.sh:337 中危 外部 URL 外部 URL
http://fundgz.1234567.com.cn/js/$ scripts/sq.sh:372 中危 外部 URL 外部 URL
https://api.fund.eastmoney.com/f10/lsjz?fundCode=$ scripts/sq.sh:394 中危 外部 URL 外部 URL
https://fund.eastmoney.com scripts/sq.sh:395 目录结构
6 文件 · 70.2 KB · 1791 行 Shell 3f · 1329L
Markdown 1f · 372L
YAML 1f · 48L
CSV 1f · 42L
├─
▾
assets
│ └─
portfolio.csv
CSV
├─
▾
scripts
│ ├─
fmt.sh
Shell
│ ├─
portfolio.sh
Shell
│ └─
sq.sh
Shell
├─
SKILL.md
Markdown
└─
skill.yaml
YAML
安全亮点
✓ 网络请求白名单明确:仅 7 个中国金融数据源(腾讯财经、新浪财经、东方财富),均为合法公开 API
✓ 文件访问严格限制:仅 portfolio.csv,路径固定在 ~/.openclaw/ 或 ~/.claude/ 下
✓ 无凭证收割:无任何代码访问 ~/.ssh、~/.aws、.env 或遍历环境变量
✓ 无远程代码执行:无 base64 管道、裸 IP 请求、eval(atob())、wget|bash 等高危模式
✓ 无隐藏指令:代码中无 HTML 注释或混淆载荷
✓ shell 工具用途合理:curl 获取行情、iconv GBK→UTF-8 转码、grep/awk/mktemp 文件操作,均在声明范围内
✓ portfolio.sh 提供完整的文件管理抽象,代码结构清晰
✓ 无第三方 pip/npm 依赖,无版本锁定风险