ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

股票持仓分析大师

v1.0.0

股票持仓分析系统,用于管理股票投资组合,实时更新价格,分析盈亏,生成报告。使用当用户需要管理股票持仓、查看实时价格、分析盈亏情况、生成投资报告时。

0· 43·0 current·0 all-time
by@jcsoftear
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
代码和文档实现了名为“股票持仓分析”的功能(持仓管理、实时价格抓取、盈亏分析、报告、生成功能、网页 UI 和 LLM 辅助分析),与技能名称/描述一致。所需二进制(python)和 pip 依赖(requests, flask 等)与功能相称。
!
Instruction Scope
运行说明和 README 建议可用 start_server(host='0.0.0.0', ...),默认示例/文档会使服务对局域网可见。Flask 路由中有未认证的 API(例如 /api/llm/config POST、/api/stock/analyze/<symbol> 等),这些接口会读取数据库中的 LLM 配置并将持仓或分析内容发往配置的外部 API;SKILL.md/README 未强制或说明任何身份验证或访问控制,这超出了“仅本地管理持仓”的安全边界。
Install Mechanism
注册表元数据标示为 instruction-only (无 install spec),但 SKILL.md 内含 pip 安装项(requests, flask)。依赖使用常见 PyPI 包,安装方式常见且合理;没有看到远程二进制下载或可疑安装来源,但元数据/README 与 SKILL.md 在是否声明安装步骤上有小不一致。
!
Credentials
技能本身不要求环境变量或外部凭据(requires.env 为空),但代码在本地 sqlite 中保存可任意设置的 LLM API URL / API Key(llm_config 表),并且提供公开 HTTP 接口用于更新这些字段。因为 POST /api/llm/config 没有认证,攻击者或局域网内的其他用户可以利用该接口设置一个由其控制的 api_url,然后触发分析接口将本地持仓/日志/分析上下文发送到该外部 endpoint — 这构成凭据或数据外发的高风险路径。
Persistence & Privilege
技能没有设置 always:true,也未修改其他技能或系统范围配置。但示例建议绑定 0.0.0.0(局域网可见)且服务会写日志和 sqlite 数据库到磁盘(logs/, portfolio.db),在未加访问控制的环境中这些持久化产物可能被本地用户或其它进程访问。
What to consider before installing
这套技能看起来确实实现了持仓管理与报告功能,但存在可被滥用的数据外发风险: - 不要在对公网或不受信任的局域网上直接运行。默认示例会绑定 0.0.0.0;若只供本机使用,请改为 127.0.0.1。 - 在暴露任何网络接口之前,添加认证/访问控制(至少 HTTP Basic/Auth token 或绑定 localhost)。尤其保护 /api/llm/config,因为它会写入 API Key 和 api_url。 - 不要将真实、敏感的 API key(OpenAI 等)写入未受保护的实例;考虑只在受控配置文件或环境中保存,并限制对写入接口的访问。 - 考虑限制出站流量或使用防火墙规则,以防服务被指示向恶意外部服务器发送持仓数据。 - 仔细审查并运行代码(或在隔离环境/容器中运行)以确认没有隐藏上传端点。日志可能包含敏感信息;检查并清理 logs/ 和 portfolio.db 的权限。 如果你需要更高置信度评估,我可以: - 完整展开并审查被截断的源代码部分(我注意到部分文件被截断),或 - 搜索代码中是否有任何向非金融/LLM 域发起请求的硬编码 URL 或隐蔽上传逻辑。

Like a lobster shell, security has layers — review code before you run it.

latestvk97cyhxc7mgsfyb8zkqjrfea8184ny3v

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Runtime requirements

📊 Clawdis
Binspython

Comments