中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
kalshi-eth-btc-beta-trader
基于 ETH/BTC 1.3x beta 关系交易 Kalshi 预测市场的策略
合法的 ETH-BTC beta 交易策略,所有功能与文档声明一致,无恶意行为发现
Skill Namekalshi-eth-btc-beta-trader
Duration36.1s
Enginepi
Safe to install
可安全使用。唯一建议:确保 SOLANA_PRIVATE_KEY 存储安全,不要在代码中硬编码或输出到日志

Findings 4 items

Severity Finding Location
Info
敏感凭证处理
代码通过 os.environ.get('SOLANA_PRIVATE_KEY') 读取 Solana 私钥,用于 DFlow 交易签名。密钥仅存在于内存,未被写入文件或日志。
api_key = os.environ.get('SIMMER_API_KEY')
→ 确认私钥存储于安全位置(如加密 vault),不要输出到 stdout/stderr
 trader.py:145
Low
可选 tradejournal 导入
代码尝试导入 tradejournal 模块记录交易日志。如果模块不存在则静默降级为 no-op。
from tradejournal import log_trade
→ 非风险,但用户应知悉可选依赖
 trader.py:28
Info
乾运行模式默认开启
默认 dry_run=True,需显式传入 --live 才执行真实交易。有效防止误操作。
dry_run = not args.live
→ 良好安全设计
 trader.py:683
Info
风险参数硬限制
代码内置多重风险控制:$5 最大头寸、4 笔/运行、15% 滑点阈值、2% BTC 偏移检测。
MAX_POSITION_USD = _config['max_position_usd']
→ 良好风险控制
 trader.py:56
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE 无文件读写操作
Network READ/WRITE READ/WRITE ✓ Aligned 通过 simmer-sdk 访问 /api/sdk/* 端点
Shell NONE NONE 无 subprocess 或 os.system 调用
Environment READ READ ✓ Aligned 读取 SIMMER_API_KEY, SOLANA_PRIVATE_KEY (env)
Skill Invoke NONE NONE 无跨技能调用
2 findings
🔗
Medium External URL 外部 URL
https://simmer.markets/skills
SKILL.md:10
📧
Info Email 邮箱地址
[email protected]
SKILL.md:128

File Tree

3 files · 33.0 KB · 944 lines
Python 1f · 707L Markdown 1f · 130L JSON 1f · 107L
├─ 📋 clawhub.json JSON 107L · 2.0 KB
├─ 📝 SKILL.md Markdown 130L · 5.3 KB
└─ 🐍 trader.py Python 707L · 25.7 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
simmer-sdk * pip No 第三方 SDK,无版本锁定;需审查源码
tradejournal * pip No 可选依赖,缺失时静默降级

Security Positives

✓ 完整的文档声明(SKILL.md 130行),功能与实现一致
✓ 默认乾运行模式,需 --live 显式激活真实交易
✓ 内置多重风险保护:头寸限额、交易数量限制、滑点控制
✓ 无 subprocess/os.system 等 shell 执行
✓ 无文件读写操作
✓ 网络请求仅限于 simmer.markets 官方 API
✓ 代码结构清晰,模块化设计良好
✓ 支持可配置的 tuner 参数