Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Dexter Research
v1.2.0A股自主金融研究技能。触发条件:(1) 用户要求分析股票、研究公司财务、查询个股基本面 (2) 用户给出股票代码或名称让进行研究 (3) 用户说"分析XXX股票"、"帮我研究这个公司"、"查一下这个股的财务"等类似表达。当用户明确要求对A股上市公司进行财务分析、个股研究、股票评分时激活本技能。
⭐ 0· 45·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称与描述为A股研究,脚本依赖 akshare、腾讯行情、东方财富等数据源并实现财务指标采集、打分、K线与飞书推送,所请求的网络调用与依赖与宣称功能一致。
Instruction Scope
SKILL.md 指示运行脚本、写入 /root/.openclaw/workspace/data/dexter-research.json 并推送到飞书,范围基本合理。但脚本包含对环境变量 DEXTER_OUTPUT_FILE 和 DEXTER_LOG_FILE 的读取(未在文档中声明)并且默认硬编码了 FEISHU_USER_OPEN_ID,这可能导致在用户未设置接收者时向第三方发送报告(数据外发)。
Install Mechanism
无安装规范(instruction-only + 附带 Python 脚本 与 requirements.txt),不会自动从不可信 URL 下载或在安装时写入任意二进制,风险较低;需用户自行 pip install 依赖。
Credentials
要求的飞书凭证(FEISHU_APP_ID/FEISHU_APP_SECRET)与推送功能相符,但脚本还读取未在文档中列出的环境变量(DEXTER_OUTPUT_FILE, DEXTER_LOG_FILE)并在代码中设定了默认 FEISHU_USER_OPEN_ID(ou_805cd822...),这会在用户未显式配置接收者时将信息发送到该默认ID,构成潜在的凭证/数据泄露风险。
Persistence & Privilege
技能未要求始终启用(always:false),也不修改其他技能或系统范围配置。它会把结果写到技能工作区路径并记录日志,这是功能性持久化,权限范围有限。
Scan Findings in Context
[hardcoded-feishu_open_id] unexpected: 脚本中有默认 FEISHU_USER_OPEN_ID = 'ou_805cd822ede55b661fcbcd1eeab2a3dd',在用户未指定接收者时可能将报告推送到此默认Open ID(潜在的数据外发/泄露)。
What to consider before installing
该技能在功能上与其描述一致,但存在可导致数据被推送到第三方的默认行为:
- 在安装/运行前,打开 scripts/research.py 并删除或替换硬编码的 FEISHU_USER_OPEN_ID 默认值;不要依赖脚本内置的默认Open ID。
- 仅在信任接收方时才设置 FEISHU_APP_ID/FEISHU_APP_SECRET,并显式设置 FEISHU_USER_OPEN_ID 为你自己的接收者。
- 文档未提及 DEXTER_OUTPUT_FILE/DEXTER_LOG_FILE 环境变量:如果你希望文件保存在其他位置,请设置这些变量或更改代码中的默认路径。
- 在生产环境中运行前,建议在隔离环境(受限容器)内测试一次脚本的网络行为,确认只访问你预期的数据源(腾讯、东方财富、akshare 等)且不会向未知第三方发送数据。
- 如果你无法或不愿审计代码,谨慎提供任何飞书凭证;考虑删除或撤销这些凭证的权限后再测试。Like a lobster shell, security has layers — review code before you run it.
latestvk97fvpj5c9xcgtpkaekqgd2rk183w29t
License
MIT-0
Free to use, modify, and redistribute. No attribution required.