openclaw-funding-arb
WarnAudited by ClawScan on May 10, 2026.
Overview
该技能的用途与代码基本一致,但它会使用交易所 API 密钥自动进行高杠杆合约交易,且默认风控边界和凭据声明不够清晰,安装前应人工审查。
不要把主账户或有提现权限的 API key 交给该技能。若要使用,请先完整审查脚本,在小额账户中测试,显式降低杠杆和并发,设置最大张数/最大名义金额/本金上限,并确认状态文件与交易所实际持仓一致后再运行。
Findings (4)
Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.
如果参数、行情、网络或交易所状态异常,脚本可能自动下达高杠杆合约订单并造成实际资金损失。
代码默认使用 100 倍杠杆和全仓模式,并且最大开仓张数、最大名义金额默认值为 0 表示不限制;这会让自动交易脚本拥有较大的金融账户变更能力。
LEVERAGE = int(os.getenv("LEVERAGE", "100")) ... OPEN_TYPE = int(os.getenv("OPEN_TYPE", "2")) # 1逐仓, 2全仓 ... MAX_OPEN_VOL = float(os.getenv("MAX_OPEN_VOL", "0")) ... MAX_NOTIONAL_USDT = float(os.getenv("MAX_NOTIONAL_USDT", "0"))只使用权限最小化的 MEXC API key;先在模拟或小额账户测试;显式设置 LEVERAGE、MAX_OPEN_VOL、MAX_NOTIONAL_USDT、PRINCIPAL_USDT 和并发上限;确认有人工启动和监控流程。
用户可能低估该技能需要的账户权限;一旦提供可交易 API 密钥,脚本可代表用户在 MEXC 合约账户下单。
注册元数据没有声明凭据需求,但 SKILL.md 要求设置 MEXC_API_KEY 和 MEXC_API_SECRET,代码也读取这些环境变量用于交易所私有 API 操作。
Required env vars: none; Primary credential: none
在元数据中明确声明 MEXC_API_KEY/MEXC_API_SECRET 和所需交易权限;用户应创建仅限 MEXC 合约交易、禁用提现、可随时撤销的 API key。
一次错误配置或行情异常可能扩散为多笔同时开仓/平仓,放大亏损和爆仓风险。
技能设计会扫描多个股票合约并在同一批次并发下单;若过滤、阈值、时间偏移或风控参数配置不当,错误可能同时影响多个合约仓位。
扫描股票合约并应用白名单过滤。资金费结算前开仓,结算后立刻平仓。... MAX_PARALLEL_ORDERS:同一批次并发下单数量上限。
限制白名单范围和并发数量;为每个合约设置名义金额上限;先使用单合约、小额、低杠杆运行,并保留人工停止和手动平仓预案。
如果状态文件内容错误,机器人可能基于错误的未平仓记录执行后续操作。
脚本会读取本地状态文件恢复未平仓记录,且该状态会影响重启后的平仓流程;这是目的相关的持久化,但需要防止误改或篡改。
STATE_FILE = os.getenv("STATE_FILE", os.path.join(os.path.dirname(os.path.abspath(__file__)), "funding_arb_state.json")) ... load_opened_state() ... 从本地状态文件恢复未平仓记录将 STATE_FILE 放在权限受控的位置;运行前检查状态文件内容;必要时与交易所实际持仓核对后再恢复自动平仓。