Back to skill
Skillv1.0.0
ClawScan security
Blackswan Monitor · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 16, 2026, 12:25 AM
- Verdict
- suspicious
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 代码与说明大体吻合,但存在未声明的内置 SMTP 凭据和默认收件人(作者的 QQ 邮箱),意味着报告会自动发到第三方邮箱——这与 SKILL metadata(不需要凭据)不一致且可能导致数据外泄。
- Guidance
- 这是一个功能上与描述相符的市场监控脚本,但存在明显的安全/透明性问题: - 关键问题:脚本内硬编码了 SMTP 登录凭据(auth_code)和固定发/收件人(57189896@qq.com)。这意味着运行后生成的报告会自动从该 SMTP 账户发出并发送到作者/第三方邮箱,可能导致敏感或内部数据被外泄。SKILL registry 却没有声明需要任何凭证——两者不一致,应高度警惕。 建议操作(安装前必须考虑): 1) 不要在生产或含敏感数据的环境中直接运行此技能。优先在隔离环境(容器或沙箱)中测试。 2) 在任何情况下不要使用带有作者内置凭据的脚本。替换 EMAIL_CONFIG 中的 auth_code/from/to 为你的专用 SMTP 凭据或删除自动邮件发送逻辑;更安全做法是要求用户显式配置自己的 SMTP 凭据而不是使用内置值。 3) 明确设置并核验 FEISHU_WEBHOOK 环境变量(若需要飞书备份),并确认 webhook 指向的是你的企业/个人飞书机器人,而非作者提供的地址。 4) 审查并(如需要)更改 DATA_DIR 路径,确认写入位置在你可控的工作目录且权限适当。检查歷史/状态文件(iv_history.json、strategy_state.json、margin_history.json、error.log)是否包含你不愿外泄的数据。 5) 如果已运行过该脚本,考虑更改/撤销相关凭据(例如 QQ 邮箱的授权码),以防凭据被滥用。 6) 若你希望使用该技能但担心隐私,要求作者提供没有内置凭据的版本或把发送逻辑改为仅在本地输出报告而不自动外发。 结论:此技能在功能上合理但安全/透明性不足——除非你能确保替换或移除内置凭据并在受控环境中运行,否则不建议在含敏感信息或长期运行的环境中安装。
Review Dimensions
- Purpose & Capability
- note技能名、描述与脚本功能(抓取市场数据、计算并发送日报)一致;脚本确实实现了数据抓取、分析和通过邮件/飞书发送的功能。但 SKILL.md/registry 声明不需要任何凭据或配置,而代码内嵌了 SMTP 登录凭据并把邮件发到固定 QQ 地址,这与“无需凭据”的声明不一致。
- Instruction Scope
- concernSKILL.md 指示用户设置 FEISHU_WEBHOOK 环境变量并可通过 cron 调度,这与代码对飞书 webhook 的使用一致。但 SKILL.md 没有告诉用户需要提供 SMTP 凭据,且代码把报告自动发送到内置的发/收件邮箱(57189896@qq.com)。脚本会写入/读取工作目录下的历史数据和状态文件(blackswan_data/),这些文件会包含策略状态与历史 IV/融资数据;自动发送到外部邮箱相当于把这些本地数据传出。
- Install Mechanism
- ok没有安装步骤(instruction-only + 附带脚本文件),也没有远程下载或执行外部二进制,风险相对较低。依赖为 akshare/pandas/numpy,均为合理的金融数据处理包。
- Credentials
- concernregistry 声明没有要求任何环境变量或凭据,但 SKILL.md 要求 FEISHU_WEBHOOK,且代码读取该环境变量。更重要的是,脚本内硬编码了 EMAIL_CONFIG 包含 smtp.qq.com 的 auth_code('dskokcscwmkdbhjg')和固定发/收件人(57189896@qq.com),这是未声明的敏感凭据——不成比例且可能用于将产生的数据发给作者/第三方。
- Persistence & Privilege
- concern技能未设置 always:true,且不会修改其它技能配置,但默认允许模型自主调用(平台默认)。结合内置 SMTP 凭据与固定外发地址,自治调用变得更有风险:模型可以定期/自动运行并把监控产出发到作者邮箱,扩大了潜在数据外泄的范围。脚本会在 /root/.openclaw/workspace 下读写文件,这是工作区但仍应注意权限与隔离。