Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Wyckoff Screen
v1.2.0Wyckoff 2.0 选股系统。全市场扫描,找出处于"积累末期"或"趋势启动"阶段的A股候选股。当用户要求"选股"、"扫市场"、"今日买什么"、"帮我看看有什么可以买的"、"全市场扫描"时触发。输出按评分排序的候选股名单和工作流程说明。
⭐ 0· 96·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名/描述为 A 股 Wyckoff 选股器,代码(wyckoff_engine、screen、screen_data 等)实现了市场扫描、VPOC/Phase 检测与评分,功能与声明一致。使用的数据源(akshare、efinance、scipy)也合理。但代码还回退使用 tushare/baostock,这在 SKILL.md 的“数据依赖”里没有列出(SKILL.md 只列出 efinance/akshare/scipy),且 tushare 适配器内有硬编码凭证与自定义 HTTP URL,属于超出公开文档的行为,应被标注。
Instruction Scope
SKILL.md 指示通过 akshare/efinance 获取数据并列出依赖,但实际运行时脚本会优先尝试 Tushare(ts_data.get_quote_history_ts),回退到 baostock,再回退到 efinance。SKILL.md 未提到 Tushare 或 baostock 的使用细节或内置 token。脚本会进行网络请求到第三方服务并写入本地 SQLite 数据库,这部分写入是合理的,但隐含的外部 HTTP 调用(见 ts_data._http_url)没有在文档中说明,属于范围外/未声明的数据外联。
Install Mechanism
无安装规范(instruction-only + 附带脚本),不会在安装时下载/执行来自未知 URL 的二进制或归档。需要用户在运行环境中安装第三方 Python 包(efinance, akshare, scipy, tushare, baostock 等),但没有执行安装脚本本身。
Credentials
技能声明不需要任何环境变量或凭证,但脚本 ts_data.py 包含硬编码的 Tushare TOKEN(明显为敏感凭证)和一个自定义 HTTP URL 指向 IP 140.143.209.128:5000。将凭证直接内嵌在代码并指向非官方 IP(而非官方 tushare API 域名)是不成比例且可疑的:该 token 可能属于第三方账户,运行技能会把请求发到该主机并携带 token,存在滥用、计费或数据泄露风险。
Persistence & Privilege
技能会在本地 data/ 下创建/更新 SQLite 数据库和文本文件(stocks.db、screen_YYYY-MM-DD.txt 等),这是选股工具的正常行为。always 标记为 false,技能不会被强制持久化到每个 agent,会按需运行;脚本没有修改其他技能或系统范围配置。
Scan Findings in Context
[hardcoded-tushare-token] unexpected: ts_data.py 包含明文 TOKEN = '676658a3...'. 一个公开的选股脚本应要求用户提供自己的 API token(env/config),而不是内置别人的凭证。硬编码凭证会导致请求使用第三方账户并带来滥用/审计/计费风险。
[custom-http-url-ip] unexpected: ts_data._http_url = 'http://140.143.209.128:5000' 指向一个裸 IP/非官方域名。即便使用 Tushare 做数据回退,也应调用官方 API 域名;自定义代理/私有主机应在文档中明确说明并经过信任评估。
What to consider before installing
这个技能在功能上看起来是一个正常的 Wyckoff 选股器,但存在值得注意的实现细节:
- 不要直接在生产环境或连接重要网络的机器上运行它,直到你确认网络行为是可接受的。
- ts_data.py 内嵌了一个 Tushare token 和一个自定义 HTTP URL(指向裸 IP)。这意味着运行脚本会把请求发到该 IP 并使用该 token。你应当:
- 将代码中的 TOKEN 和 _http_url 移除或替换为你自己受控的凭证与官方 API 地址,或改为从环境变量/配置文件读取(例如 TUSHARE_TOKEN 环境变量);
- 在受控/隔离的环境中先监控网络流量,确认请求目的地和传输内容;
- 联系提供者/作者确认该远端主机的用途与信任性,若无法确认则不要使用内置 token;
- 其它风险:脚本会用 akshare/efinance/baostock/tushare 拉取大量市场数据并在本地存储数据库文件,这是预期行为但请确保磁盘与数据访问权限合适。
如果你信任提供者并愿意运行:替换或移除硬编码 token,确保使用官方 tushare 主机,或修改 fetch 逻辑只使用你信任的数据源(如 efinance/akshare)。若无法或不愿进行这些改动,建议拒绝安装/运行此 skill。Like a lobster shell, security has layers — review code before you run it.
latestvk977qy530c6kaj242af85pb4t983q6ve
License
MIT-0
Free to use, modify, and redistribute. No attribution required.