BitSoulStockSkill

要点与建议： - 该 skill 会把你的 BITSOUL_TOKEN 发往其后端（info.aicodingyard.com 等）以获取数据与运行模型；确保该 token 权限有限且来自你信任的服务。若担心隐私或权限，优先使用一次性/受限权限的 token。 - 包含本地数据下载与解密流程（data_1.0.bin 与 scripts/decrypt_patch.py）。decrypt_patch.py 使用基于 Python random 的流式掩码，属于弱加密/自定义加密实现——它用于解密/隐藏数据包，但并不是标准强加密。若你关心下载内容，建议先检查 assets/config.json（查看 base_url）和 scripts/remote_api.py（查看实际请求的远端域名与参数）以确认要下载的文件与端点。 - SKILL.md 强制在若干情形下调用远端 API（例如因子挖矿、get_trade_signal），并要求直接输出服务返回的 summary_text 等字段。换言之，很多决策逻辑托管给远端/内置实现，代理不会本地重新计算或审查原始回测细节，可能影响透明性。 - 运行时会在本地创建 SQLite 缓存和写入缓存目录（默认为临时目录下的 BitSoulStockSkill 子目录，或 BITSOUL_CACHE_DIR 指定）。如果你对磁盘写入敏感，可在隔离环境或容器中运行并指定独立缓存路径。 如果你想更高的信心： - 在安装/运行前查看 assets/config.json（确认 base_url）和 scripts/remote_api.py（查看具体 HTTP 请求与是否有额外 header/文件读写）。 - 在受控环境（容器或虚拟机）中首次试运行，并使用受限/一次性 token。若发现请求发向非声明域名，应立刻停止使用。 综上：从可见工件来看，该 skill 在目的、所需权限与实现上总体一致，属于“内部连贯”（benign），但由于包含远端数据下载和自定义解密逻辑，且在若干场景强制将决策交给后端，实现透明性有限，因此我把信心水平定为中等；如需更高置信度，请提供或审查 remote_api.py 和 assets/config.json 的具体内容。