ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

股票持仓分析大师

v1.0.0

股票持仓分析系统,用于管理股票投资组合,实时更新价格,分析盈亏,生成报告。使用当用户需要管理股票持仓、查看实时价格、分析盈亏情况、生成投资报告时。

0· 87·0 current·0 all-time
by@jcsoftear

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for jcsoftear/portfolio-analysis-pro.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "股票持仓分析大师" (jcsoftear/portfolio-analysis-pro) from ClawHub.
Skill page: https://clawhub.ai/jcsoftear/portfolio-analysis-pro
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Required binaries: python
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install portfolio-analysis-pro

ClawHub CLI

Package manager switcher

npx clawhub@latest install portfolio-analysis-pro
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
代码和文档实现了名为“股票持仓分析”的功能(持仓管理、实时价格抓取、盈亏分析、报告、生成功能、网页 UI 和 LLM 辅助分析),与技能名称/描述一致。所需二进制(python)和 pip 依赖(requests, flask 等)与功能相称。
!
Instruction Scope
运行说明和 README 建议可用 start_server(host='0.0.0.0', ...),默认示例/文档会使服务对局域网可见。Flask 路由中有未认证的 API(例如 /api/llm/config POST、/api/stock/analyze/<symbol> 等),这些接口会读取数据库中的 LLM 配置并将持仓或分析内容发往配置的外部 API;SKILL.md/README 未强制或说明任何身份验证或访问控制,这超出了“仅本地管理持仓”的安全边界。
Install Mechanism
注册表元数据标示为 instruction-only (无 install spec),但 SKILL.md 内含 pip 安装项(requests, flask)。依赖使用常见 PyPI 包,安装方式常见且合理;没有看到远程二进制下载或可疑安装来源,但元数据/README 与 SKILL.md 在是否声明安装步骤上有小不一致。
!
Credentials
技能本身不要求环境变量或外部凭据(requires.env 为空),但代码在本地 sqlite 中保存可任意设置的 LLM API URL / API Key(llm_config 表),并且提供公开 HTTP 接口用于更新这些字段。因为 POST /api/llm/config 没有认证,攻击者或局域网内的其他用户可以利用该接口设置一个由其控制的 api_url,然后触发分析接口将本地持仓/日志/分析上下文发送到该外部 endpoint — 这构成凭据或数据外发的高风险路径。
Persistence & Privilege
技能没有设置 always:true,也未修改其他技能或系统范围配置。但示例建议绑定 0.0.0.0(局域网可见)且服务会写日志和 sqlite 数据库到磁盘(logs/, portfolio.db),在未加访问控制的环境中这些持久化产物可能被本地用户或其它进程访问。
What to consider before installing
这套技能看起来确实实现了持仓管理与报告功能,但存在可被滥用的数据外发风险: - 不要在对公网或不受信任的局域网上直接运行。默认示例会绑定 0.0.0.0;若只供本机使用,请改为 127.0.0.1。 - 在暴露任何网络接口之前,添加认证/访问控制(至少 HTTP Basic/Auth token 或绑定 localhost)。尤其保护 /api/llm/config,因为它会写入 API Key 和 api_url。 - 不要将真实、敏感的 API key(OpenAI 等)写入未受保护的实例;考虑只在受控配置文件或环境中保存,并限制对写入接口的访问。 - 考虑限制出站流量或使用防火墙规则,以防服务被指示向恶意外部服务器发送持仓数据。 - 仔细审查并运行代码(或在隔离环境/容器中运行)以确认没有隐藏上传端点。日志可能包含敏感信息;检查并清理 logs/ 和 portfolio.db 的权限。 如果你需要更高置信度评估,我可以: - 完整展开并审查被截断的源代码部分(我注意到部分文件被截断),或 - 搜索代码中是否有任何向非金融/LLM 域发起请求的硬编码 URL 或隐蔽上传逻辑。

Like a lobster shell, security has layers — review code before you run it.

Runtime requirements

📊 Clawdis
Binspython
latestvk97cyhxc7mgsfyb8zkqjrfea8184ny3v
87downloads
0stars
1versions
Updated 2w ago
v1.0.0
MIT-0
@jcsoftear
latest
Download

股票持仓分析 Skill

提供股票投资组合管理、实时价格更新、盈亏分析和报告生成功能。

功能说明

本skill提供以下功能:

  1. 持仓管理 - 添加、编辑、删除股票持仓记录,支持股票代码、名称、持仓数量、成本价的完整编辑
  2. 实时价格更新 - 手动或自动更新持仓价格,支持多数据源,自动更新仅在交易时间执行
  3. 盈亏分析 - 计算总市值、总成本、总盈亏、盈亏比例、个股盈亏、仓位占比等
  4. 操作记录 - 自动记录所有操作历史,支持查看和追溯
  5. 报告生成 - 生成Markdown格式的持仓报告,支持下载导出
  6. 股票价格查询 - 查询单只股票的实时价格信息

使用方法

1. 启动系统

from portfolio_system import PortfolioManager, start_server

# 启动Web服务器
start_server(host='0.0.0.0', port=5000, auto_update=True)

2. 使用API接口

import requests

# 获取持仓数据
response = requests.get('http://localhost:5000/api/portfolio')
data = response.json()

# 更新价格
response = requests.post('http://localhost:5000/api/portfolio/update')

# 添加持仓
response = requests.post('http://localhost:5000/api/portfolio/add', json={
    'symbol': '600519',
    'name': '贵州茅台',
    'quantity': 100,
    'cost_price': 1800.00
})

# 查询股票价格
response = requests.get('http://localhost:5000/api/stock/price/600519')

3. 使用PortfolioManager类

from portfolio_system import PortfolioManager

manager = PortfolioManager('portfolio.db')

# 添加持仓
result = manager.add_holding('600519', '贵州茅台', 100, 1800.00)

# 获取持仓数据
portfolio = manager.get_portfolio_data()

# 更新所有价格
result = manager.update_all_prices()

# 生成报告
result = manager.generate_report()

API接口说明

接口方法说明
/api/portfolioGET获取持仓数据
/api/portfolio/updatePOST手动更新所有价格
/api/portfolio/addPOST添加持仓
/api/portfolio/edit/<symbol>PUT编辑单个字段
/api/portfolio/edit-multiple/<symbol>PUT批量编辑持仓
/api/portfolio/delete/<symbol>DELETE删除持仓
/api/portfolio/logsGET获取操作记录
/api/portfolio/reportGET生成持仓报告
/api/portfolio/exportGET下载报告文件
/api/stock/price/<symbol>GET查询单只股票价格

依赖项

  • requests
  • flask

安装依赖:

pip install requests flask

交易时间

自动更新仅在以下时间段执行:

  • 工作日(周一到周五)
  • 上午:9:30 - 11:30
  • 下午:13:00 - 15:00

股票代码格式

  • 上海股票:6位数字代码(如 600519)
  • 深圳股票:6位数字代码(如 000001)
  • 创业板:300开头(如 300750)

数据精度

所有价格相关数据支持4位小数精度,包括:

  • 成本价
  • 当前价
  • 盈亏额
  • 盈亏百分比

颜色标识

  • 红色:代表盈利
  • 绿色:代表亏损

排序功能

持仓列表支持按以下字段排序:

  • 股票名称
  • 股票代码
  • 市值
  • 盈亏额
  • 盈亏百分比

Comments

Loading comments...