Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
投资研究报告助手
v1.0.4基于 baostock 金融数据库和 tavily-search 智能搜索的股票投资分析技能,提供完整的多时间框架技术分析、市场热点资讯追踪和投资报告生成功能。
⭐ 0· 72·0 current·0 all-time
by@ssehome
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能声明使用 baostock 获取行情并可选集成 Tavily 搜索;代码、README 和 SKILL.md 中均实现并调用了 baostock 和 Tavily,功能与描述一致,没有发现与声明目的无关的外部服务或不相称的依赖。
Instruction Scope
运行说明和代码会在分析过程中将公司名称/代码等查询内容发送到 Tavily (外部 API)。SKILL.md 明确把 Tavily API Key 标记为“可选”,代码在未配置 Key 时会跳过搜索,这与描述基本一致。但需要注意:分析过程会把查询关键词(公司名、代码、行业关键词等)传递到第三方搜索 API(Tavily),这属于向外部服务发送用户数据的正常行为,用户应知情。
Install Mechanism
该技能为 instruction-only(没有安装脚本),提供 requirements.txt 让用户通过 pip 安装依赖:baostock、pandas、numpy、dotenv、reportlab、tavily-python 等。没有从不明 URL 下载、也没有写入非标准位置,安装风险为常见第三方包风险(供应链/依赖性),与技能用途相称。
Credentials
清单中声明“无需环境变量”,但运行时代码(analyze_stock.py、demo_tavily.py、demo_tavily.py 的 get_tavily_api_key)会读取 ~/.openclaw/.env 中的 TAVILY_API_KEY(可选)。更重要的是仓库包含 tavily_config.py,内含看起来像真实的硬编码 API Key (TAVILY_API_KEY = "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")。将凭证硬编码在源码中与最佳实践不符,若该 key 为有效且未授权,可能导致滥用或配额/计费风险;即使无恶意,该行为仍是不成比例的凭证暴露。
Persistence & Privilege
技能未请求常驻(always=false)、未修改其他技能或系统级配置、也未声明会写入特殊系统路径。行为权限与用途一致。
What to consider before installing
要点与建议:
1) 最重要:检查并删除仓库中的硬编码凭证(tavily_config.py 中的 TAVILY_API_KEY)。不要将真实 API Key 保存在源码中;如果该 key 曾经被上传到公共仓库,应当立即轮换/撤销。
2) Tavily 是第三方服务:分析时会把公司名称/代码/行业关键词发送给 Tavily API(如果配置了 Key)。如果你关心数据外泄或审计,请不要配置 TAVILY_API_KEY,或在本地禁用 Tavily 集成。SKILL.md 提到未配置时会跳过新闻搜索。
3) 依赖与安装:pip install -r requirements.txt 会安装第三方包(包括 tavily-python)。在生产/敏感环境中,建议在隔离的虚拟环境或容器中安装并审查依赖版本(可考虑锁定版本或从可信源安装)。
4) 若想安装:在安装前删除或重写 tavily_config.py 中的密钥,把你的 TAVILY_API_KEY 放到 ~/.openclaw/.env 或环境变量中(按 README 指示),并在首次使用时监控网络请求以确认只向预期的 API 发起调用。
5) 若你不需要新闻搜索:不设置 TAVILY_API_KEY 即可仅使用 baostock 的技术分析功能;或移除 tavily-python 依赖以进一步减少外部调用。
6) 其它:代码本身没有发现明显的恶意或隐蔽数据窃取逻辑,但包含网络调用(baostock、Tavily);在信任该技能并安装前,应对包含的第三方包和嵌入凭证做基本审计。Like a lobster shell, security has layers — review code before you run it.
latestvk975bmwgjjkegvr1jm79wnapk984ckn5
License
MIT-0
Free to use, modify, and redistribute. No attribution required.