polymarket-autotrade 安全扫描报告 — 可信 | ClawSafe

5 /100

polymarket-autotrade

Polymarket 预测市场 CLI - 浏览市场、查看价格、执行交易、管理投资组合

合法的 Polymarket 预测市场交易 CLI，代码与文档一致，无恶意行为，私钥本地签名后仅发送签名交易到 Polymarket 官方 API。

技能名称polymarket-autotrade

分析耗时33.6s

引擎pi

✓

可以安装

可安全使用。建议用户仅使用专用小钱包，避免主钱包风险。

安全发现 2 项

严重性	安全发现	位置
低危	依赖版本无锁定 requirements.txt 和 pyproject.toml 均使用 >= 约束，存在依赖混淆可能（中间人攻击风险极低但仍建议固定版本） `requests>=2.31.0` → 使用固定版本如 requests==2.31.0	`requirements.txt:2`
低危	钱包配置未自动检查未验证私钥格式或地址匹配，可能导致发送交易失败而非安全警告 `return json.load(f)` → 添加私钥格式验证（0x 开头 64/66 字符）和 proxy_address 格式校验	`skill.py:29`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	skill.py:14-15 读取 ~/.openclaw/credentials/polymarket.json
文件系统	`WRITE`	`WRITE`	✓ 一致	skill.py:52-56 写入 ~/.openclaw/credentials/polymarket_api.json 缓存 API 凭证
网络访问	`READ`	`READ`	✓ 一致	skill.py:178,216,265,293 requests.get 调用 Polymarket 公开 API
网络访问	`WRITE`	`WRITE`	✓ 一致	skill.py:282-283 通过 py-clob-client 发送签名交易到 clob.polymarket.com
环境变量	`READ`	`READ`	✓ 一致	skill.py:22-26 读取 POLYMARKET_PRIVATE_KEY 和 POLYMARKET_PROXY_ADDRESS
技能调用	`NONE`	`NONE`	—	无动态调用其他技能
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system/eval 调用

7 项发现

🔗

中危外部 URL 外部 URL

https://gamma-api.polymarket.com/events/pagination

SKILL.md:192

🔗

中危外部 URL 外部 URL

https://data-api.polymarket.com/positions

SKILL.md:193

🔗

中危外部 URL 外部 URL

https://clob.polymarket.com

SKILL.md:194

💰

中危钱包地址加密货币钱包地址

0x2791Bca1f2de4661ED88A30C99A7a9449Aa84174

skill.py:17

🔗

中危外部 URL 外部 URL

https://polygon-rpc.com

skill.py:18

🔗

中危外部 URL 外部 URL

https://polymarket.com/event/

skill.py:241

🔗

中危外部 URL 外部 URL

https://gamma-api.polymarket.com/events/slug/

skill.py:245

目录结构

5 文件 · 22.2 KB · 711 行

Python 1f · 489L Markdown 1f · 194L TOML 1f · 20L JSON 1f · 5L Text 1f · 3L

├─ 📋 _meta.json JSON 5L · 139 B

├─ 📄 pyproject.toml TOML 20L · 384 B

├─ 📄 requirements.txt Text 3L · 71 B

├─ 📝 SKILL.md Markdown 194L · 4.9 KB

└─ 🐍 skill.py Python 489L · 16.8 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`requests`	`>=2.31.0`	pip	否	无版本锁定，建议固定版本
`py-clob-client`	`>=1.5.0`	pip	否	Polymarket 官方交易客户端，来源可信，无版本锁定

安全亮点

✓ 私钥本地签名，never transmitted——代码明确使用 py-clob-client 的 key 参数做本地签名

✓ 所有外部通信均为 Polymarket 官方域名（clob.polymarket.com, gamma-api.polymarket.com, data-api.polymarket.com, polygon-rpc.com）

✓ 无 shell 执行，无 eval，无 base64 管道，无隐蔽代码

✓ 文档清晰标注安全警告，建议使用专用小钱包

✓ 凭证文件权限建议（chmod 600）已写入文档

✓ API 凭证为自动生成并缓存，非用户主动提供