Back to skill
Skillv1.0.4
ClawScan security
同花顺股票接口 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 17, 2026, 1:16 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个 skill 的声明(基于 thsdk 提供同花顺市场数据和分析)与其代码示例、运行指引和所需权限基本一致,没有要求与目的无关的环境变量或可疑安装来源。
- Guidance
- 这个 skill 在设计上是自洽的:它只是包装/示例如何使用 thsdk 获取并分析同花顺行情数据,不会要求你的私钥或读取系统文件。但在安装和使用前请注意:1) pip install thsdk 会从 PyPI 安装第三方代码——建议先在虚拟环境或隔离容器中安装并查看该 PyPI 项目的作者、源码和版本发布记录;2) 虽然当前示例不需要凭据,高级或付费接口可能需要 API key/账号,安装或启用时留意是否出现新的 credential 要求;3) 允许模型自动调用技能意味着它可以在会话中使用该库进行网络请求——如果你不希望代理在无监督情况下访问网络或批量查询市场数据,请考虑禁用模型自动调用或仅在明确授权下使用。
Review Dimensions
- Purpose & Capability
- ok名称与描述表明这是一个基于同花顺 thsdk 的高级行情/选股/分时/K 线分析工具;SKILL.md 和示例代码都调用 thsdk 提供的相应方法(klines、market_data_*、wencai_nlp、depth 等),没有要求与此目的不符的外部凭据或系统访问。
- Instruction Scope
- okSKILL.md 明确指导通过 thsdk 的 API 获取市场数据并在内存中做分析/可视化。说明与示例仅引用 thsdk API、pandas、正则等处理,不读取系统敏感路径或未经声明的环境变量,也不将数据发送到未说明的外部端点。
- Install Mechanism
- note安装建议是通过 pip install thsdk(指向 PyPI)。这是与该功能相符的常见做法,但安装第三方 PyPI 包有固有风险(包在安装时或导入时可执行任意代码)。建议在隔离环境(虚拟环境/容器)中安装并审查 thsdk 包源码或其维护者信息。
- Credentials
- ok声明为游客模式('with THS() as ths: # 游客模式,无需账户配置'),SKILL.md 与示例未要求任何 SECRET/TOKEN/PATH。未见不相称的凭据请求。
- Persistence & Privilege
- okflags 显示 always:false,skill 不会被强制常驻。默认允许模型调用(disable-model-invocation:false)是平台默认行为,且本技能的功能需要网络/API 访问以获取行情数据,属于合理范畴。