Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Investment Research Analyst
v1.0.0提供多维度上市公司深度研究,涵盖基本面、新闻、情绪、技术、风险与核查,输出专业投资研究报告和互动Dashboard。
⭐ 0· 183·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能目标是多维度上市公司研究,SKILL.md 中确实包含基本面、新闻、情绪、技术分析等步骤,并示例调用 akshare 与 yfinance,功能与描述一致。但技能声明没有列出这些 Python 库或任何运行时依赖,且提到“创建 Dashboard 并部署”——部署逻辑/托管目标未说明,表明能力声明与实际所需资源存在部分脱节。
Instruction Scope
运行指令包含网络数据抓取(akshare、yfinance、券商研报、东方财富/同花顺、公司公告、网络搜索等)。这些操作合理用于投研,但 SKILL.md 未限定如何访问付费/需要登录的数据源,也未说明 Dashboard 部署方式或目标(本地/远端云/第三方服务),这可能导致代理在运行时请求额外凭证或将数据发送到不明位置。指令没有要求读取本地敏感路径,但‘部署’步骤过于模糊,属于范围蔓延风险。
Install Mechanism
这是一个仅含说明文档的 instruction-only 技能,没有 install spec、二进制或代码文件被写入;从安装机制角度风险较低。唯一需注意的是 SKILL.md 假定存在 Python 及第三方包(akshare, yfinance),但未在元数据中声明依赖。
Credentials
技能不要求任何环境变量或凭证(requires.env 为空),与其读取公开数据源(akshare、yfinance、公开公告)大致匹配。但由于文档建议抓取券商研报/机构评级等可能需要授权的资源且要求部署 Dashboard,实际运行可能需要托管凭证或第三方 API key;这些未被声明,存在潜在的凭证请求/滥用风险。
Persistence & Privilege
技能不设置 always:true 且为用户可调用,默认允许模型自主调用(平台默认)。没有安装脚本或修改其他技能/系统配置的指令,因此没有请求长期驻留或特权修改。注意:若授予网络访问与托管凭证,则自主调用能力会扩大潜在影响面。
What to consider before installing
该技能在功能上与投研描述一致,但存在两个值得注意的模糊点:1) 依赖与运行环境未声明——SKILL.md 使用 akshare 与 yfinance 等库,但元数据未列出这些依赖,安装/运行前请确保环境中已安全安装所需 Python 包;2) Dashboard 的“创建与部署”步骤未说明托管目标或所需凭证,运行时代理可能会向你请求第三方托管/云服务凭证或访问需要授权的数据源。建议在安装/使用前:要求技能作者明确列出运行时依赖和部署目标;限制或审查任何被请求的托管/API 凭证;在隔离/受控环境中首次运行(无敏感凭证);并在授予自动调用或网络访问前确认数据来源的授权与隐私影响。Like a lobster shell, security has layers — review code before you run it.
financevk971k7c2ws6d7g714q33r5661183an7winvestmentvk971k7c2ws6d7g714q33r5661183an7wlatestvk971k7c2ws6d7g714q33r5661183an7wresearchvk971k7c2ws6d7g714q33r5661183an7wstockvk971k7c2ws6d7g714q33r5661183an7w
License
MIT-0
Free to use, modify, and redistribute. No attribution required.