Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
因子投资
v1.0.0基于《因子投资:方法与实践》的量化选股系统,融合Fama-French多因子模型与技术面选股,提供集合竞价选股、盘中监控、持仓复盘等功能。
⭐ 0· 118·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能的名称、描述和 SKILL.md/ prompts 内容一致地描述了基于因子与技术面进行选股、监控和复盘的流程;这些功能在纯说明层面上自洽。但能力清单(实时盘中监控、Word/PDF 报告生成、飞书群推送等)通常需要外部数据源、库或 webhook/凭证支持,而技能声明不需要任何环境变量或二进制依赖,这在实现层面上存在缺口(未说明如何安全访问行情数据或如何配置推送目的地)。
Instruction Scope
SKILL.md 明确列出应执行的步骤(获取竞价/行情数据、计算因子、输出报告、盘中监控等),且没有要求访问主机文件系统或读取未声明的本地凭证。但指令使用了开放式动作如“获取最新行情数据”“获取竞价数据”“飞书群推送(待配置)”,未指定可信数据源或 API 端点,给实现方较大自由度,可能导致代理去调用任意外部接口。
Install Mechanism
这是一个 instruction-only 技能,没有 install 规范或代码文件,因而不会在安装阶段写入或执行第三方二进制/下载文件,安装风险低。
Credentials
技能声明不需要任何环境变量或凭证,但功能需求(实时行情、集合竞价数据、生成并推送 Word/PDF、飞书群推送)通常需要数据提供方或消息平台的 API key/webhook/凭证。这种‘功能需要外部凭证但未声明’的不一致意味着在实际使用时用户可能会被请求手动提供敏感凭证(API keys、webhook、券商/行情账户等)。技能本身没有解释如何存储、使用或保护这些凭证。
Persistence & Privilege
flags 显示 always:false 且默认允许模型调用(正常)。技能不请求长期驻留系统或修改其他技能/系统配置,也不声明会写入代理配置,因此持久化/权限方面没有超出常规的明显要求。
What to consider before installing
这是一个基于公开因子与技术面逻辑的文档型技能(没有可执行代码),在概念上与其描述一致,但存在重要模糊点:
- 数据来源:技能要求“获取最新行情/竞价数据”,但未指定数据提供方或 API。问清楚将使用哪个行情供应商(是否为券商、Wind、聚合行情接口等)以及数据访问方式。
- 凭证与推送:功能清单提到飞书群推送和报告生成/传输,但技能没有声明所需环境变量或 webhook。不要在不了解凭证用途与存储方式的情况下直接提供 API keys、券商凭证或 webhook 地址。
- 实时/自动交易风险:技能描述了盘中监控与操作建议,但没有明确是否会自动下单。若要自动化交易,必须确认审计、回滚与权限边界;若只是建议,应明确为“仅建议/人工执行”。
- 验证建议:在提供任何敏感凭证前,要求技能作者(或部署者)说明数据源、网络端点、如何存储凭证、是否外发数据,以及是否有审计日志。可先在只读/沙盒模式下测试(让代理仅返回预测/计算结果,不做推送或下单)。
总体:该技能概念上可信,但模糊的外部依赖与凭证需求带来了实际使用时的风险,应在明确数据源与凭证处理流程后再投入生产或提供敏感凭证。Like a lobster shell, security has layers — review code before you run it.
latestvk97aastv9arxwhr1x0pmqa2f9983z81t
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
📈 Clawdis
OSWindows · macOS · Linux