Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
虾皮股市罗盘
v1.0.2市场罗盘:A股市场三维结构分析系统,整合趋势结构、估值、情绪三层指标,给出市场当前状态的综合判断与操作建议。触发词:市场罗盘、市场结构分析、趋势结构、市场综合分析、仓位判断、市场健康度。适用场景:判断当前市场是否适合持仓、识别趋势结构破坏与修复信号、综合多维度给出仓位管理建议。不适用场景:个股分析、板块分析、短线...
⭐ 0· 92·0 current·0 all-time
by三水清@ksky521
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称与说明(A股市场三层指标罗盘分析)与 SKILL.md 中的流程、字段和报告模板保持一致;唯一的不一致是元数据未声明需要的服务凭证(Skill 文档要求配置 daxiapi 的 token),但 declares.requires.env 列表为空。总体上请求的能力属于该技能目的,但应明确声明 token 是必需的。
Instruction Scope
运行时指令限定在调用 daxiapi-cli 获取市场数据、解析并生成报告,未要求读取或发送系统上其它无关文件。需要注意:SKILL.md 明确指示使用 `daxiapi config set token YOUR_TOKEN`,这意味着会在本地写入/读取 CLI 的配置(未说明配置路径或存储方式),应确认该 token 存放位置与权限范围。
Install Mechanism
Skill 是 instruction-only,但它要求通过 `npx daxiapi-cli@latest` 在运行时拉取并执行最新的 npm 包:这会动态下载并运行第三方代码(供应链风险)。没有固定版本或来源验证(比如固定版本号或校验),提高了被篡改或替换的风险。建议改为固定已审核的包版本或提供离线/内置实现,或至少在元数据中声明依赖并说明信任来源。
Credentials
技能本身不在元数据中请求任何环境变量或凭证,但运行说明要求用户配置 daxiapi CLI token(隐含凭证需求)。这与技能声明不一致:要么应在元数据中列出该 token(以及其最低权限要求),要么在 SKILL.md 中明确说明 token 的权限和存放位置。当前状态对凭证处理不够透明,但凭证本身与技能目的(访问 daxiapi 服务)是相关的。
Persistence & Privilege
技能没有安装脚本、无 always:true 请求,也不修改其他技能或系统范围设置。它仅在被调用时通过外部 CLI 获取数据,默认允许模型自主调用(平台默认),单独看不构成异常持久权限。
What to consider before installing
要点与建议:
- 风险摘要:该 Skill 会建议你通过 `npx daxiapi-cli@latest` 拉取并执行远端 npm 包,并要求在本地配置 daxiapi token;这带来两类风险——(1)运行时从 npm 拉取未固定版本的代码(供应链/任意代码执行风险);(2)未声明 token 的权限与存储位置,可能导致凭证被存储在本地配置文件中而不透明。
- 在决定安装或使用前:
1) 要求作者/发布者说明 daxiapi-cli 的可信来源并改为使用固定版本(例如 `npx daxiapi-cli@1.2.3`)或提供校验哈希;
2) 检查或要求说明 daxiapi-cli 在本地保存 token 的路径和文件权限,确认不会泄露到不受信任的位置;
3) 仅使用权限最小的 token(如果 daxiapi 支持,创建仅供只读市场数据的专用 token),并在不再使用时撤销;
4) 如果可能,先在隔离环境或受控容器中运行 `npx daxiapi-cli@latest market compass` 并审查下载的包内容(或在离线环境中要求作者提供包);
5) 如果你无法或不愿意接受运行外部未固定 npm 包的风险,要求技能改用已审核的依赖、把关键逻辑内嵌为 instruction-only(直接包含数据解析示例而不自动下载代码),或由你手动运行 daxiapi-cli 并把输出粘贴给 Agent。
- 总结:技能功能和说明书一致,但由于动态拉取并执行最新 npm 包以及凭证未声明,存在可避免的风险;在这些问题未被修正前,我建议谨慎安装/运行。Like a lobster shell, security has layers — review code before you run it.
latestvk975dd1xsbmha7s8y2n10xbpz584psvm
License
MIT-0
Free to use, modify, and redistribute. No attribution required.