Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
虾皮红利类指数投资分析
v1.0.4分析红利类指数投资机会,基于打分算法判断超买超卖状态。触发词:询问某个红利指数的投资机会、红利指数、红利分析、中证红利、红利低波、股息率指数、高股息。适用场景:分析红利类指数投资机会、判断超买超卖时机、红利指数择时。不适用场景:个股分析、债券分析、基金筛选。
⭐ 0· 126·0 current·0 all-time
by三水清@ksky521
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
SKILL.md 明确说明要使用“大虾皮 / daxiapi” 的 API 来获取红利指数打分数据,分析流程、指标与输出模板与技能名称/描述一致 —— 所需能力(调用该 API、解析 score/cs/rsi、生成报告)合理。但技能元数据并未声明任何必需的凭据或环境变量,尽管文档和示例命令要求配置 Token(DAXIAPI_TOKEN 或通过 npx CLI 配置),这在声明上不一致,降低透明度。
Instruction Scope
SKILL.md 的运行指令限定为:检查/设置 daxiapi token、使用 `npx daxiapi-cli@latest dividend score -c <code>` 或示例 curl 调用 daxiapi.com,并基于返回的最近60日数据做结构化分析。指令没有要求读取系统的任意敏感配置文件或与技能目的无关的数据,也未指示把数据发到非 daxiapi 的未知端点。需要注意的是指令允许使用 npx 下载并执行第三方 CLI。
Install Mechanism
技能为 instruction-only、无安装规范,但运行步骤依赖 `npx daxiapi-cli@latest`(动态从 npm 拉取并执行 daxiapi-cli),或通过 curl 直接调用 https://daxiapi.com。虽然没有直接下载任意 URL 的高风险 install spec,但依赖 npx 在运行时动态拉取包存在潜在风险(运行第三方代码且包内容可变)。建议检查 npm 上的 daxiapi-cli 包来源与可信度。
Credentials
技能在文档中多次要求配置 API Token(示例环境变量 DAXIAPI_TOKEN、npx config set token),这与技能功能直接相关且属于合理范围(仅需一个服务 Token)。但技能清单/元数据列出了“Required env vars: none”且“Primary credential: none”,产生不一致:必需凭据未在元数据中声明,降低了可审计性并可能误导用户授予凭据。
Persistence & Privilege
技能未请求始终驻留(always: false)、未要求修改其他技能或系统范围设置,也未声明写入系统路径或长期持久化行为。基于提供信息,其权限与持久性请求正常且有限。
What to consider before installing
要点与建议:
1) 该技能确实需要访问大虾皮(daxiapi.com) 的 API 并使用一个 API Token,但技能元数据没有声明该凭据。安装前确认你愿意提供该 Token,并尽量使用权限最小的 Token(仅读数据)且可随时撤销。\n2) 运行指令使用 `npx daxiapi-cli@latest`:这会在运行时从 npm 拉取并执行 daxiapi-cli 包。若你要信任此技能,先在独立环境手动检查 npm 上的 daxiapi-cli 包(查看发布者、版本历史、源码仓库、下载量和评分),确认没有可疑活动。\n3) 验证 daxiapi.com 的信誉:查看其隐私政策、API 权限说明、是否需要支付或绑定账户,以及 token 的权限/有效期。\n4) 若你担心安全性,可要求技能作者在元数据中明确列出需要的环境变量(如 DAXIAPI_TOKEN)并提供一个静态、可审计的客户端实现(而不是依赖 npx/latest 动态拉包)。\n5) 若继续使用:只把最小权限的 token 暂时提供给该技能,并在不再需要时撤销;或在受控/沙箱环境中先行测试技能的行为。\n总体判断:技能功能和实现思路一致,但因为凭据声明不透明与运行时拉取第三方 CLI 的做法,我建议在确认 daxiapi 与 daxiapi-cli 的可信度后再安装/使用。Like a lobster shell, security has layers — review code before you run it.
latestvk979kdn4cn956a5evt1dqqfc5x84q2c5
License
MIT-0
Free to use, modify, and redistribute. No attribution required.