ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

investment-data

v1.0.0

获取高质量 A 股投资数据,基于 investment_data 项目。支持日终价格、涨跌停数据、指数数据等。每日更新,多数据源交叉验证。触发词:股票数据、A股数据、金融数据、量化数据、历史行情。

1· 800·4 current·4 all-time
by@stanleychanh
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Benign
medium confidence
Purpose & Capability
Skill 名称与说明表明它用于获取 A 股数据;代码和说明确实实现了下载、查询与导出功能,所需 Python 库(pandas/numpy/requests)与功能相匹配。值得注意的不一致:SKILL 要求系统二进制包含 wget 和 tar,但实际脚本使用 Python 的 requests 和 tarfile(并未调用系统 wget/tar)。文档中还引用了若干脚本(如 query_batch.py、update_data.py、export.py)在包内未全部找到,这表明打包或文档存在差异,但不足以表明恶意。
Instruction Scope
SKILL.md 指示运行 scripts/download_data.py 下载来自 GitHub release 的数据包并解压,脚本确实会向 api.github.com 和 github.com 发起请求并将归档解压到用户数据目录(默认 ~/.qlib/...)。脚本没有读取系统范围的敏感配置或请求额外环境变量(TUSHARE_TOKEN 为可选)。风险提示:download_data.py 使用 tarfile.extractall() 解压远端归档,若归档包含恶意路径或文件会导致写入任意路径(tar 路径遍历风险);不过下载源为 GitHub releases(受信任程度较高)。
Install Mechanism
没有 registry 层面的 install spec(instruction-only),SKILL.md 建议通过 pip 安装常见 Python 包,下载数据来自 GitHub Releases(常见且可审计的发布源)。没有看到来自不明域名、短链接或个人服务器的可疑二进制下载请求。唯一需要注意的是脚本会把解压内容写入用户数据目录(可能占用 ~5GB)。
Credentials
所需环境变量都是可选的:INVESTMENT_DATA_DIR(数据路径)和可选的 TUSHARE_TOKEN(用于实时更新)。没有要求任何 API keys、云凭据或其他敏感/无关的凭证,所需权限与功能相称。
Persistence & Privilege
skill 不具有 always:true,也没有请求修改其他技能或系统范围配置。它会在用户主目录下创建/写入数据目录并可能写日志文件,这是为了存储数据所需的有限本地持久化,权限和持久性在合理范围内。
Assessment
这是一个以 GitHub release 为数据源、通过 Python 下载并在用户主目录下存储大数据集的技能。推荐在安装前注意以下几点: - 验证 GitHub 仓库地址和发布页面是否可信(https://github.com/chenditc/investment_data)。 - 下载与解压会把大量文件写入 ~/.qlib/...(约 5GB);确保你同意并且有足够空间。 - download_data.py 使用 tarfile.extractall() 解压远程归档,存在路径遍历的风险(如果归档被篡改可能写入任意路径)。若你对安全敏感,可先手动下载并用安全工具检查归档内容再解压,或审计发布的 tar 内容。 - SKILL.md 声明 system binaries 包含 wget/tar,但脚本实际上使用 Python requests 与 tarfile;在某些环境下脚本用到的 'python' 可执行文件可能不是 python3,运行前确认 python 可执行文件指向合适的解释器(或手动用 python3 运行脚本)。 - 文档引用了若干在包内未找到的脚本(query_batch.py、update_data.py 等),这可能表示打包不完整或文档未同步;在依赖这些功能前先检查仓库/包内实际文件。 如果你仍想继续:在受控环境(非生产关键主机)中先运行 tests/或手动审查下载的 tar 内容;确认不提供 TUSHARE_TOKEN 给不可信方,因为该 token 是可选的,但若你提供则为个人凭证。

Like a lobster shell, security has layers — review code before you run it.

latestvk976ekf6s281qvgx9bkdkvbpan8128p4

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Runtime requirements

Binspython3, wget, tar

Comments