polymarket-autotrade Security Report — Trusted | ClawSafe

5 /100

polymarket-autotrade

Polymarket 预测市场 CLI - 浏览市场、查看价格、执行交易、管理投资组合

合法的 Polymarket 预测市场交易 CLI，代码与文档一致，无恶意行为，私钥本地签名后仅发送签名交易到 Polymarket 官方 API。

Skill Namepolymarket-autotrade

Duration33.6s

Enginepi

✓

Safe to install

可安全使用。建议用户仅使用专用小钱包，避免主钱包风险。

Findings 2 items

Severity	Finding	Location
Low	依赖版本无锁定 requirements.txt 和 pyproject.toml 均使用 >= 约束，存在依赖混淆可能（中间人攻击风险极低但仍建议固定版本） `requests>=2.31.0` → 使用固定版本如 requests==2.31.0	`requirements.txt:2`
Low	钱包配置未自动检查未验证私钥格式或地址匹配，可能导致发送交易失败而非安全警告 `return json.load(f)` → 添加私钥格式验证（0x 开头 64/66 字符）和 proxy_address 格式校验	`skill.py:29`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	skill.py:14-15 读取 ~/.openclaw/credentials/polymarket.json
Filesystem	`WRITE`	`WRITE`	✓ Aligned	skill.py:52-56 写入 ~/.openclaw/credentials/polymarket_api.json 缓存 API 凭证
Network	`READ`	`READ`	✓ Aligned	skill.py:178,216,265,293 requests.get 调用 Polymarket 公开 API
Network	`WRITE`	`WRITE`	✓ Aligned	skill.py:282-283 通过 py-clob-client 发送签名交易到 clob.polymarket.com
Environment	`READ`	`READ`	✓ Aligned	skill.py:22-26 读取 POLYMARKET_PRIVATE_KEY 和 POLYMARKET_PROXY_ADDRESS
Skill Invoke	`NONE`	`NONE`	—	无动态调用其他技能
Shell	`NONE`	`NONE`	—	无 subprocess/os.system/eval 调用

7 findings

🔗

Medium External URL 外部 URL

https://gamma-api.polymarket.com/events/pagination

SKILL.md:192

🔗

Medium External URL 外部 URL

https://data-api.polymarket.com/positions

SKILL.md:193

🔗

Medium External URL 外部 URL

https://clob.polymarket.com

SKILL.md:194

💰

Medium Wallet Address 加密货币钱包地址

0x2791Bca1f2de4661ED88A30C99A7a9449Aa84174

skill.py:17

🔗

Medium External URL 外部 URL

https://polygon-rpc.com

skill.py:18

🔗

Medium External URL 外部 URL

https://polymarket.com/event/

skill.py:241

🔗

Medium External URL 外部 URL

https://gamma-api.polymarket.com/events/slug/

skill.py:245

File Tree

5 files · 22.2 KB · 711 lines

Python 1f · 489L Markdown 1f · 194L TOML 1f · 20L JSON 1f · 5L Text 1f · 3L

├─ 📋 _meta.json JSON 5L · 139 B

├─ 📄 pyproject.toml TOML 20L · 384 B

├─ 📄 requirements.txt Text 3L · 71 B

├─ 📝 SKILL.md Markdown 194L · 4.9 KB

└─ 🐍 skill.py Python 489L · 16.8 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`requests`	`>=2.31.0`	pip	No	无版本锁定，建议固定版本
`py-clob-client`	`>=1.5.0`	pip	No	Polymarket 官方交易客户端，来源可信，无版本锁定

Security Positives

✓ 私钥本地签名，never transmitted——代码明确使用 py-clob-client 的 key 参数做本地签名

✓ 所有外部通信均为 Polymarket 官方域名（clob.polymarket.com, gamma-api.polymarket.com, data-api.polymarket.com, polygon-rpc.com）

✓ 无 shell 执行，无 eval，无 base64 管道，无隐蔽代码

✓ 文档清晰标注安全警告，建议使用专用小钱包

✓ 凭证文件权限建议（chmod 600）已写入文档

✓ API 凭证为自动生成并缓存，非用户主动提供

Scan Report

Findings 2 items

File Tree

Dependencies 2 items

Security Positives