Security Scan
OpenClaw
Suspicious
high confidencePurpose & Capability
SKILL.md 与包描述都声称支持A股、港股和美股,并在用法中给出 AAPL/MSFT 等美股示例;但 bin/stock.js 只接受6位数字(A股)或5位数字(港股),对于字母代码会直接 reject(错误信息:暂只支持A股(6位数字)和港股(5位数字))。此外 package.json 将 bins 声明为数组(非标准对象),显示打包或元数据有问题。总体上说明与实际能力不匹配。
Instruction Scope
SKILL.md 指导用户使用字母代码查询美股(例如 stock AAPL),但运行时脚本会失败并报错;说明文本会误导用户去执行会失败的命令。除了这点,说明没有要求读取额外文件、环境变量或向未声明的外部端点发送数据(脚本仅请求 hq.sinajs.cn),因此没有范围外的数据收集。
Install Mechanism
没有安装规范 — 这降低了安装风险。包含可执行脚本 bin/stock.js,可直接运行。package.json 的 bins 字段使用数组而非典型的对象映射,可能导致安装后命令注册异常或是打包失误,但并非明显恶意安装行为。
Credentials
不请求任何环境变量或凭据。脚本仅通过 HTTPS 请求 hq.sinajs.cn(新浪行情接口)获取数据,这与查询A股/港股的目的相符。没有发现对不相关凭据或敏感路径的访问。
Persistence & Privilege
flags 中没有 always:true,技能不会强制常驻或修改其它技能/系统配置。脚本不试图写入持久配置或保存凭据。
What to consider before installing
该技能本身并不要求密钥或写入系统,但存在文档与实现不一致的明显问题:
- 文档/示例声称支持美股(AAPL/MSFT),但代码只接受数字代码(A股6位/港股5位),对字母代码会报错。不要期望它能查询美股,除非作者修复代码或文档。
- package.json 中 bins 的声明使用数组(非典型格式),可能导致安装或命令注册问题;如果你打算安装,请先在沙箱或本地测试运行 bin/stock.js。
- 脚本会向 hq.sinajs.cn 发起网络请求(正常的行情请求),如果你在受限或高安全环境中,注意网络访问策略。
建议在安装或允许自动调用前:
1) 运行 node bin/stock.js 600519 等示例命令,验证预期输出。
2) 如果需要美股支持,要求作者修复:接受字母代码并把请求路由到支持美股的 API,或删除美股相关说明。
3) 若担心包质量或注册问题,可手动把 bin/stock.js 放在安全路径并直接调用,而不是依赖安装脚本注册。
总之:技能并非显然恶意,但说明与实现不一致,安装前应先验证并询问作者明确支持的市场。Like a lobster shell, security has layers — review code before you run it.
latest
Stock Skill - 股票查询
获取A股、港股、美股的实时行情数据。
支持的市场
- A股: 上海/深圳股票(使用新浪财经接口)
- 港股: 港股股票(使用新浪财经接口)
- 美股: 美股股票(使用新浪财经接口)
使用方式
# 查询A股股票(自动识别沪深市场)
stock 600519 # 贵州茅台
stock 000001 # 平安银行
stock 300750 # 宁德时代
# 查询港股
stock 00700 # 腾讯控股
# 查询美股
stock AAPL # 苹果
stock MSFT # 微软
输出格式
返回股票的:
- 当前价格
- 涨跌幅
- 涨跌额
- 开盘价
- 最高价
- 最低价
- 成交量
- 成交额
- 换手率
Comments
Loading comments...