安全决策报告
grid-trading-pro
文档声称实现网格交易自动化,但代码仅为模拟演示,缺少实际交易逻辑和API集成,存在明显的文档欺骗
为什么得出这个结论
0/4 个维度触发 通过
声明与实际能力
声明资源与推断能力基本一致。
复核
隐藏执行与外联
提取到 3 个一般风险产物,需要结合上下文判断。
通过
攻击链与高危发现
没有形成明确的恶意路径。
通过
依赖与供应链卫生
依赖结构存在,但暂未看到明显高危告警。
风险分是怎么被拉高的
文档欺骗 +25
SKILL.md描述的功能(通知、报告导出、真实API调用)在代码中完全缺失
声明-行为严重不符 +15
文档描述自动交易,代码仅为价格模拟,无实际交易所交互
过度声明权限 +5
SKILL.md声明需要BINANCE_API_KEY/SECRET_KEY但代码不读取任何环境变量
最关键的证据
中危 文档欺骗
文档描述的通知功能未实现
SKILL.md详细描述了Telegram/Discord/Email通知配置,包括SMTP设置,但index.js中完全没有notification相关代码
index.js:1 如果声明了通知功能,应在代码中实现;如果不需要,应从文档中移除
中危 文档欺骗
声称真实交易所API集成,实际为模拟
SKILL.md声称'Automatically creates optimal grid levels'和'exchanges API',但代码使用Math.random()模拟价格,无任何ccxt库调用
index.js:137 应使用ccxt库实际连接交易所,或明确标注为模拟模式
中危 文档欺骗
报告导出功能缺失
SKILL.md提到'Export reports (CSV/PDF)',但getReport()方法仅返回JSON对象,无文件生成逻辑
index.js:181 实现CSV/PDF导出功能或从文档中移除该功能
中危 文档欺骗
自动调整网格功能缺失
SKILL.md声称'Adjusts grids based on volatility',但initializeGrids()使用固定间距,无波动率自适应逻辑
index.js:31 实现基于历史波动率的动态网格调整
低危 供应链
声明依赖ccxt但未使用
package.json声明依赖ccxt@^4.0.0,但index.js中完全没有require('ccxt')或ccxt相关代码
package.json:17 如需真实交易所集成,应实际使用ccxt库;否则移除该依赖
声明能力 vs 实际能力
文件系统 通过
声明 NONE
→ 推断 NONE
代码无文件读写操作 网络访问 通过
声明 READ
→ 推断 NONE
代码无任何网络请求,仅使用Math.random()模拟价格 命令执行 通过
声明 NONE
→ 推断 NONE
无subprocess或exec调用 环境变量 通过
声明 READ
→ 推断 NONE
声明需要BINANCE_API_KEY但代码从未读取process.env 数据库 通过
声明 NONE
→ 推断 NONE
无数据库操作 可疑产物与外联
中危 外部 URL
https://discord.com/api/webhooks/... README.md:288
依赖与供应链
| 包名 | 版本 | 来源 | 漏洞 | 备注 |
|---|---|---|---|---|
| ccxt | ^4.0.0 | npm | 否 | 声明了ccxt依赖但代码中完全未使用 |
文件构成
5 个文件 · 1260 行
Markdown 2 个文件 · 976 行JavaScript 1 个文件 · 233 行JSON 2 个文件 · 51 行
需关注文件 · 3
README.md https://discord.com/api/webhooks/... · [email protected] · [email protected]
index.js 文档描述的通知功能未实现 · 声称真实交易所API集成,实际为模拟 · 报告导出功能缺失 · 自动调整网格功能缺失
package.json 声明依赖ccxt但未使用
其他文件 · SKILL.md · _meta.json
安全亮点
代码无恶意行为,无凭证窃取
无shell执行或系统命令调用
无敏感文件访问或环境变量窃取
代码结构清晰,为纯JavaScript类实现