Back to skill
Skillv1.0.0
ClawScan security
金融分析技能 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousFeb 26, 2026, 3:01 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 文档与清单/代码之间存在不一致:README/SKILL.md 表示会调用在线免费数据源并需要 API Key,但实际代码主要只处理本地 CSV,清单中也未声明任何环境变量或网络依赖,需开发者澄清用途与权限。
- Guidance
- 要点与建议: 1) 文档/清单不一致:在安装或提供任何 API Key 之前,向发布者确认该技能是否真的会调用 Alpha Vantage / yfinance / Finnhub,以及这些网络调用会在哪里发生(由本地脚本直接发起还是需要新增模块)。 2) 如果你只需处理本地 CSV:当前代码看起来仅从本地 CSV 加载并计算风险平价,且不需要任何 API Key;在此情形下无需提供在线凭证,但也请手动检查脚本以确认无隐蔽的网络请求(搜索 'requests', 'urllib', 'socket', 'yfinance', 'alpha_vantage', 'finnhub')。 3) 如果准备运行:先在隔离/沙箱环境中运行,使用非敏感示例 CSV,观察是否有出站网络连接或意外文件写入。查看生成的输出目录权限并确认路径(默认路径包含具体用户名,应按需修改)。 4) 要求修正清单:要求发布者或维护者把实际需要的依赖和环境变量在 manifest/registry metadata 中列清楚(例如将 ALPHA_VANTAGE_API_KEY 列为可选或必需),并在文档中明确何时会进行网络请求。 5) 若你会提供 API Key:只在信任来源并确认代码确实需要并安全使用该键时才提供;否则勿将长期/高权限凭证填入。
Review Dimensions
- Purpose & Capability
- concernSKILL.md 与 README.md 声称集成 Yahoo Finance(yfinance)、Alpha Vantage、Finnhub 等在线免费数据源并提示配置 ALPHA_VANTAGE_API_KEY;但 manifest.dependencies 未列出 yfinance/plotly,实际代码(optimized_risk_parity_skill.py / optimized_main.py)读取本地 CSV、无网络调用迹象。文档中宣称的在线数据抓取能力与实际要求/实现不匹配。
- Instruction Scope
- concern运行说明要求设置 ALPHA_VANTAGE_API_KEY 并列出了从 API 获取数据的用法,但代码路径/实现均以 CSV 为主,且默认 CSV 路径指向用户工作区(C:\Users\wu_zhuoran\.openclaw\workspace\data\marketdata.csv)。说明指示访问网络数据与代码实际行为不一致;此外文档允许把任意 CSV 放入默认路径,需注意本地文件读取权限与隐私。
- Install Mechanism
- ok没有 install spec;实际文件为 Python 脚本,依赖是常见数据分析包(pandas/numpy/matplotlib/seaborn)。无远程下载或可执行二进制安装步骤,磁盘写入/执行范围受限于脚本本身,安装风险较低。
- Credentials
- concernRegistry metadata 报告 'required env vars: none' 而 SKILL.md 要求 ALPHA_VANTAGE_API_KEY。这是不一致的:如果技能确实需要在线 API,清单应声明相应环境变量;反之,文档要求 API Key 会误导用户暴露凭证。总体上没有看到对其他凭据或敏感变量的不当请求。
- Persistence & Privilege
- ok技能未设置 always:true,未请求修改其他技能或系统范围配置,也不声明需要长期驻留或特殊权限。默认行为(按需运行脚本并读写输出目录)与其用途相称。