kalshi-eth-btc-beta-trader 安全扫描报告 — 可信 | ClawSafe

5 /100

kalshi-eth-btc-beta-trader

基于 ETH/BTC 1.3x beta 关系交易 Kalshi 预测市场的策略

合法的 ETH-BTC beta 交易策略，所有功能与文档声明一致，无恶意行为发现

技能名称kalshi-eth-btc-beta-trader

分析耗时36.1s

引擎pi

✓

可以安装

可安全使用。唯一建议：确保 SOLANA_PRIVATE_KEY 存储安全，不要在代码中硬编码或输出到日志

安全发现 4 项

严重性	安全发现	位置
提示	敏感凭证处理代码通过 os.environ.get('SOLANA_PRIVATE_KEY') 读取 Solana 私钥，用于 DFlow 交易签名。密钥仅存在于内存，未被写入文件或日志。 `api_key = os.environ.get('SIMMER_API_KEY')` → 确认私钥存储于安全位置（如加密 vault），不要输出到 stdout/stderr	`trader.py:145`
低危	可选 tradejournal 导入代码尝试导入 tradejournal 模块记录交易日志。如果模块不存在则静默降级为 no-op。 `from tradejournal import log_trade` → 非风险，但用户应知悉可选依赖	`trader.py:28`
提示	乾运行模式默认开启默认 dry_run=True，需显式传入 --live 才执行真实交易。有效防止误操作。 `dry_run = not args.live` → 良好安全设计	`trader.py:683`
提示	风险参数硬限制代码内置多重风险控制：$5 最大头寸、4 笔/运行、15% 滑点阈值、2% BTC 偏移检测。 `MAX_POSITION_USD = _config['max_position_usd']` → 良好风险控制	`trader.py:56`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	无文件读写操作
网络访问	`READ/WRITE`	`READ/WRITE`	✓ 一致	通过 simmer-sdk 访问 /api/sdk/* 端点
命令执行	`NONE`	`NONE`	—	无 subprocess 或 os.system 调用
环境变量	`READ`	`READ`	✓ 一致	读取 SIMMER_API_KEY, SOLANA_PRIVATE_KEY (env)
技能调用	`NONE`	`NONE`	—	无跨技能调用

2 项发现

🔗

中危外部 URL 外部 URL

https://simmer.markets/skills

SKILL.md:10

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:128

3 文件 · 33.0 KB · 944 行

Python 1f · 707L Markdown 1f · 130L JSON 1f · 107L

├─ 📋 clawhub.json JSON 107L · 2.0 KB

├─ 📝 SKILL.md Markdown 130L · 5.3 KB

└─ 🐍 trader.py Python 707L · 25.7 KB

包名	版本	来源	已知漏洞	备注
`simmer-sdk`	`*`	pip	否	第三方 SDK，无版本锁定；需审查源码
`tradejournal`	`*`	pip	否	可选依赖，缺失时静默降级

✓ 完整的文档声明（SKILL.md 130行），功能与实现一致

✓ 默认乾运行模式，需 --live 显式激活真实交易

✓ 内置多重风险保护：头寸限额、交易数量限制、滑点控制

✓ 无 subprocess/os.system 等 shell 执行

✓ 无文件读写操作

✓ 网络请求仅限于 simmer.markets 官方 API

✓ 代码结构清晰，模块化设计良好

✓ 支持可配置的 tuner 参数