Back to skill
Skillv1.0.0
ClawScan security
A Stock Quantitative Screener · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 21, 2026, 2:44 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能声明依赖实时行情与特定数据源,但没有说明如何访问这些数据(也未声明需要的凭据或接口),来源不明,存在不一致与可见风险。
- Guidance
- 该技能的量化方法和输出格式看起来合理,但有三个需要注意的点:1) 文档引用了具体的实时数据源(thsdk、stockapi、问财)却没有说明如何访问这些服务或提供任何凭证——在安装前请向作者确认数据来源、是否需要 API key,以及如何安全提供凭据;2) 因为是 instruction-only,代理很可能在运行时发起网络请求以获取行情,请确认代理的网络权限和审计日志,避免它在未经许可下访问外部或敏感端点;3) 来源未知(无主页、无作者说明),若你打算基于该技能执行真实交易或信任其推荐,请要求提供示例请求、数据接口说明或可信来源证明;在不清楚数据获取与凭据管理之前,不建议自动化、大规模地依赖该技能给出的买卖建议。
Review Dimensions
- Purpose & Capability
- note技能目标是对A股进行量化筛选,说明、评分体系和输出格式清晰,功能描述与其提出的筛选条件和评分方法是相符的。但技能明确引用了实时行情与特定数据源(thsdk、stockapi、问财),而注册表中没有声明任何必需的环境变量、凭证或可执行二进制来获取这些数据,造成信息缺口――实际运行需要额外访问权限或API信息。
- Instruction Scope
- concernSKILL.md 要求“结合当日最新市场行情”“输出符合条件的前10只股票”等操作,但没有给出具体的数据获取办法、API端点或示例请求。因为指示默认依赖外部行情数据,这会驱使代理在运行时发起网络请求或使用未说明的内置数据源;这种模糊性赋予代理较大自由度且缺乏审计路径。指令未要求读取本地或系统文件,未直接要求访问无关凭据。
- Install Mechanism
- ok这是一个仅含说明文档的 instruction-only 技能,没有安装规范或要写入磁盘的代码/二进制,因而不存在不可信的下载或本地安装风险。
- Credentials
- concern文档中列出并依赖多个第三方数据源(thsdk、stockapi、问财),但技能元数据未声明任何需要的 API_KEY / TOKEN / 配置信息。如果这些数据源需要凭据,缺乏声明是不一致的;若代理在没有明确授权的情况下访问第三方服务,可能会使用平台通用凭据或曝露用户环境。来源未知也不能确认是否需要专有凭证。
- Persistence & Privilege
- ok技能未请求始终启用(always:false),也未声明修改其他技能或系统配置的行为,默认的自主调用能力为平台常态,不构成额外特权风险。