Back to skill
Skillv1.3.0
ClawScan security
Market Sentiment Radar · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 20, 2026, 4:13 PM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声明的功能(A 股情绪与板块轮动分析)与它包含的代码和运行说明基本一致,没有请求额外凭据或包含可疑网络回连或隐蔽权限提升行为。
- Guidance
- 这个技能在目的与实现上是一致的:它通过 AKShare 拉取公开市场数据并在本地生成情绪/板块报告。安装前请注意:1) 脚本需要安装 akshare/pandas,请仅从受信任渠道(PyPI)安装并审查依赖;2) 脚本会联网获取市场数据——在受控网络环境或沙箱中运行可降低风险;3) 技能会建议调用其它 '交易/风控' 类技能——在允许自动化或联动前,先审查那些技能的权限(尤其是是否能下单或访问账户凭据),避免出现自动执行交易的连锁效果;4) 若你希望避免联网数据拉取,可请求仅使用示例/离线数据或在隔离环境下运行脚本。
Review Dimensions
- Purpose & Capability
- ok技能旨在做 A 股大盘情绪与板块轮动分析;随包包含一个 Python 分析脚本(scripts/sentiment_analyzer.py)并强制使用 AKShare 数据源。请求的资源(AKShare、pandas)与目标一致,未看到无关的凭据或外部服务被要求。
- Instruction Scope
- noteSKILL.md 的运行流程是通过运行本地 Python 脚本生成报告,说明与技能目的匹配。注意:文档会建议调用/配合其它交易类技能(如 Select Super Stock、Vegas T Trading、Position Risk Manager),这些建议会把决策结果传递给其他能执行交易或风控动作的技能——安装该技能前应审查那些被调用的技能的权限和行为,以免无意中放大风险。
- Install Mechanism
- ok无 install spec(instruction-only + 包含脚本),不会从不明 URL 下载可执行档。脚本在运行时依赖 AKShare/pandas(pip 可安装),没有见到 extract/远程二进制下载或不明主机地址。
- Credentials
- ok不要求任何环境变量、秘钥或配置路径;脚本也没有硬编码的凭据或外部 API key。AKShare 将访问公开市场数据(需联网)但不需要用户提供秘密信息,比例合适。
- Persistence & Privilege
- okflags 显示 always:false,技能不会强制常驻或提升自治权限。技能自身不会修改其他技能配置或请求特殊系统级权限。