ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Stocks Quant Assistant

v3.1.0

A股股票量化监控与每日推送系统。用户配置股票池后自动分析 MA/MACD/RSI/布林带,生成信号评分和操作建议,每日4次定时推送。支持持仓跟踪、板块轮动、美股隔夜。下载后只需填写配置文件,即可每日自动推送到飞书/Telegram。

1· 128·0 current·0 all-time
by@wuliwenjing
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Pending
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能声明的功能(MA/MACD/RSI/布林带分析、持仓跟踪、飞书/Telegram 推送、定时任务)与代码文件匹配:stock_monitor.py/ push_stock_report.py/health_check.py/setup.py 实现了抓取新浪/腾讯/天天基金、生成/推送报告并注册 launchd/cron。所需依赖(akshare、pyyaml、requests 等)与用途一致。
Instruction Scope
SKILL.md 的运行说明总体与实现一致(首次运行会自动安装依赖并注册定时任务),但存在不一致:README 建议运行 pip install -r requirements.txt,仓内并未包含 requirements.txt(manifest 列表没有 requirements.txt)。push_stock_report.py 明确在调用“LLM 生成报告”之前做保护检查,但 SKILL.md/skill.yml 没有声明任何 LLM 提供者或需要的 API_KEY;需要审查 stock_monitor.py 中 generate_report 的实现(文件被截断)以确认是否会使用外部 LLM 或其他未声明的远端服务。health_check.py 会读取/生成 config.local.yaml 并在交易时间尝试用填写的飞书凭证进行 token 请求和发送消息,范围在预期之内。
Install Mechanism
该技能为“instruction-only + 代码文件”,没有 platform-level install spec,但代码含自动安装逻辑(setup.py 与 stock_monitor.py 会用 pip 安装 akshare/pyyaml 等)。自动 pip 安装是常见做法但仍带中等风险(依赖被篡改或恶意包风险)。没有通过不受信任的裸 URL 下载或执行外部归档,未见高危下载来源。
Credentials
技能没有在 registry 中声明需要任何环境变量;实际运行依赖本地配置文件 config.local.yaml 或 config.yaml 中填入的飞书/Telegram 凭证。要求凭证的方式与推送功能直接相关,整体是比例合适的。但 SKILL.md 与代码均未声明(若存在)LLM API_KEY 要放在哪儿 —— 如 generate_report 使用第三方 LLM,则凭证存放和使用方式尚不明确,值得核查。
!
Persistence & Privilege
安装脚本/主程序会在用户目录写入文件、创建 marker (.installed)、在 macOS 下写入 ~/Library/LaunchAgents/com.openclaw.stock-monitor.plist 并尝试加载(user-level launchd),从而将任务常驻并定时运行——这是此类定时推送工具常见行为,但具有持续执行的影响面。仓内还包含 scripts/setup-sleep.sh,会通过 sudo pmset 修改系统睡眠与电源策略(需 root),该脚本极具系统影响性,虽未在安装流程中强制执行,但存在被运行的风险。
What to consider before installing
要点与建议: - 功能匹配度:代码与说明在抓数据、计算指标、按时推送方面大体一致;若只想离线查看或本地测试,可在 push.channel 设置为 console 或留空飞书凭证以避免发消息。 - 检查 generate_report:push_stock_report.py 有“在调用 LLM 前保护”的逻辑,但仓内没有在 README/skill.yml 中声明任何 LLM 提供者或 API_KEY。请打开并审查 stock_monitor.py 中 generate_report 的完整实现,确认是否会调用外部 LLM(如 OpenAI、私有模型服务等)、向哪些域名发送请求、以及是否会读取额外的环境变量来存放密钥。若使用 LLM,请确认密钥存放位置与访问控制。 - 配置文件与密钥:飞书/Telegram 凭证保存在 config.local.yaml(或 config.yaml),health_check 会使用这些凭证进行网络请求与推送;不要将真实凭证提交到公开仓库。安装前备份并仅在受信任主机上编辑。 - 持久化与权限:安装会在用户目录注册定时任务(launchd/cron)并写入日志/marker。若不希望持续运行,请不要执行 setup.py 和不要调用 stock_monitor.py 的安装逻辑;手动运行脚本以测试功能。 - 系统级脚本警告:仓内 scripts/setup-sleep.sh 会使用 sudo pmset 修改系统电源策略——该脚本会要求 root 权限并改变系统行为,谨慎运行;默认安装流程并不自动运行它,但文件存在意味着有人可能执行它。 - 运行策略:建议先在隔离环境(VM 或容器 / 非生产 macOS 用户)进行测试,审阅 generate_report 的全部代码与任何网络请求目标,确认依赖安装来源(pip 包名),并只在理解所有外部调用后再在个人主机上注册定时任务。若你不希望程序自动注册为长期任务,可手动运行主脚本进行测试并拒绝运行 setup.py / launchctl load。

Like a lobster shell, security has layers — review code before you run it.

chinavk978pch6e6fz3cercgdfnyvkmx83ct7jfinancevk978pch6e6fz3cercgdfnyvkmx83ct7jlatestvk970hx6yzztqq80g11gsx1b6sd83ma41quantvk978pch6e6fz3cercgdfnyvkmx83ct7jstockvk978pch6e6fz3cercgdfnyvkmx83ct7j

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments