ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

jy-stock-analysis

v1.0.0

基于恒生聚源金融数据库,提供个股实时行情、财务分析、估值、资金流向、技术指标及机构评级的全面分析与诊断。

0· 32·0 current·0 all-time
by@jiayinian
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
SKILL.md 明确声明目的是基于恒生聚源 (MCP) 的个股分析,所需的 mcporter 工具和 MCP API 调用与此目的相符。但注册元数据(Requirements 列表)显示“无需二进制/环境变量”,与 SKILL.md 内嵌 metadata (需要 node/npm/mcporter 且提供 npm 安装 mcporter) 不一致;这是元数据不一致,应在安装前澄清。
!
Instruction Scope
运行时指令要求:安装/检查 mcporter、向恒生申请 JY_API_KEY 并将该 token 直接嵌入 mcporter 配置 URL(mcporter.json),并修改 OpenClaw 的 openclaw.json 以启用 mcporter 并设置 MCPORTER_CONFIG 环境变量;这些步骤会把敏感凭据写入本地配置文件并修改代理配置。指令没有要求读取或泄露其它系统文件,但隐含地要处理并持久化用户提供的 API key,这在 SKILL 注册信息中未声明。
Install Mechanism
无可执行代码,属于说明类技能;安装建议通过 npm 全局安装 mcporter(mcporter 包)。通过官方 npm 安装是常见做法,风险为中等(第三方 npm 包需信任来源)。没有下载不明 URL 或可疑提取行为。
!
Credentials
SKILL.md 明确要求 JY_API_KEY(恒生聚源的访问 token)并建议将其置入 mcporter 配置 URL,同时建议在 openclaw.json 设置 MCPORTER_CONFIG;但注册元数据未列出任何 required env vars/primary credential。要求用户提供并写入外部数据服务的 API token 是功能所需但未在元数据中申明,存在不一致和透明度问题。
Persistence & Privilege
技能不会自动强制常驻(always:false),但指导用户修改 OpenClaw 的配置文件并重启 gateway,以启用 mcporter。修改自身代理配置以便调用外部数据是可解释的,但操作会改变代理运行时环境,用户应了解并手动确认这些改动。
What to consider before installing
在安装前请确认并考虑以下事项: - 元数据不一致:注册页面显示不需要 env/二进制,但 SKILL.md 要求安装 node/npm/mcporter 并获取 JY_API_KEY,先向技能作者或平台确认实际依赖清单。 - 凭据处理:技能要求你向恒生申请 JY_API_KEY,并把 token 放进 mcporter 配置 URL(mcporter.json)和 openclaw.json 中,这会把密钥以明文写入本地配置文件。仅在你信任恒生聚源服务与 mcporter 包来源并且能接受在磁盘上存储该密钥时才继续;优选使用最小权限/只读或可撤销的 API key,并考虑是否能改为更安全的凭据注入方式。 - npm 包信任:mcporter 将通过 npm 安装,先核验 mcporter 包的官方来源、维护者与版本,并在沙箱/受控环境中测试安装对系统的影响。 - 配置变更:技能会要求你编辑 openclaw.json 并重启代理,确认你愿意并能回滚这些改动(备份配置文件)。 - 透明度与支持:该技能无主页且来源未知 — 如果可能,要求作者提供主页/源代码或官方文档以验证 mcporter 与 MCP 服务的合法性与安全性。 - 最佳实践:如果决定使用,申请可随时撤销/限制权限的 JY_API_KEY;安装前备份配置文件;在测试环境验证查询与报告生成流程后再在生产环境使用。

Like a lobster shell, security has layers — review code before you run it.

latestvk976qgvpha3j1xescp3k9hv199843bnk

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments