国泰海通证券-灵犀自选股管理
AdvisoryAudited by Static analysis on May 12, 2026.
Overview
No suspicious patterns detected.
Findings (0)
Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.
授权密钥可能长期留在本机共享位置,被同一环境中的相关技能或进程复用;如果设备或目录不受保护,证券账户相关权限可能被误用。
代码会把 apiKey 写入名为 gtht-skill-shared 的共享目录,并且解析路径时会查找父级目录;这是证券账户授权凭据的持久化存储,范围和清理控制不够明确。
A.join(e,"gtht-skill-shared","gtht-entry.json") ... P.writeFileSync(e,JSON.stringify({apiKey:t,updatedAt:new Date().toISOString()},null,2))仅在确认发布方可信后授权;授权后了解并保护 gtht-entry.json 文件,必要时通过证券账户页面撤销设备绑定。发布方应明确凭据权限、文件权限、保存路径和清理/撤销流程。
安装和授权时,设备标识可能被发送给服务方并用于账户设备绑定。
技能明确披露会采集设备标识用于风控和设备绑定;这与金融服务授权场景相关,但属于敏感身份/设备信息。
本 Skill 在授权绑定过程中会采集设备的 MAC 地址等设备信息,并对灵犀 Skills 绑定的智能体设备设置单用户 5 台上限。
授权前确认你接受设备信息采集和绑定规则;如不再使用,应在官方账户或活动页管理已绑定设备。
代理可按用户请求更改证券账户中的自选股列表,错误理解股票名称或批量条件可能导致不想要的添加或删除。
技能具备修改用户自选股列表的能力;这是其核心目的,且删除前要求用户确认,控制措施基本合理。
添加股票到【我的自选】分组 ... 从【我的自选】分组删除股票 ... 删除操作 ... 必须二次确认
执行添加或删除前核对股票名称和代码;对批量删除尤其要求代理先列出清单并等待明确确认。