Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Nio Enhanced Analysis
v1.0.0增强版NIO股票分析,包括实时价格、技术分析、新闻情绪、操作建议
⭐ 0· 55·1 current·1 all-time
byPatrick@zhishuiyu
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
high confidencePurpose & Capability
描述和 SKILL.md 声称从 Yahoo Finance、Google News、Twitter/X 等获取实时数据和情绪,但随包提供的 analyze_nio.py 用随机数和硬编码/静态样本 JSON 来模拟数据,未见任何网络请求或 API 调用代码;这使得“实时价格/新闻情绪/社交媒体情绪”等承诺与实际能力不符,用户可能被误导以为得到实时数据。
Instruction Scope
SKILL.md 指定了 /nio_analysis 命令接口和实时分析流程,但文件集合只有本地 Python 脚本和一个 run_analysis.sh(本地 CLI 用法)。没有实现对代理平台的集成适配或对外 API 调用的说明;运行脚本会在本地生成日志(logs/),且 run_analysis.sh 实际调用 analyze_nio.py 两次(一次标准输出、一次写日志),说明说明文档与运行时行为在细节上不完全一致。
Install Mechanism
无安装说明(instruction-only + 本地脚本),没有下载外部二进制或安装未知包,风险较低。
Credentials
未请求任何环境变量、凭据或配置路径;脚本没有读取敏感系统路径或外部凭证,所请求权限与其本地模拟分析用途相称。
Persistence & Privilege
技能未设置 always:true,也不修改其他技能或全局配置;运行时仅在当前目录下创建 logs/ 并写入日志,持久性与说明一致且有限。
What to consider before installing
这个技能看起来不会窃取凭据或执行远程下载,但存在重要不一致:SKILL.md 承诺的“实时价格、Google News、Twitter/X 等外部数据源”并未在代码中实现,当前脚本使用随机数和随包的静态 JSON 示例来生成分析结果。建议在安装或信任前:
- 不要把该技能当作实时行情或投资决策唯一依据;它目前产生的是模拟/示例数据。
- 若你需要真实实时数据,要求作者公开其数据源实现或增加对 Yahoo/Google/Twitter 等 API 的明确集成与所需凭据说明。
- 在受控环境中先运行一遍:确认 python3 可用、脚本行为(它会在当前目录创建 logs/ 并写日志),并检查是否有任何意外网络连接(例如使用网络监控或运行在离线环境中)。
- 注意 run_analysis.sh 会调用 analyze_nio.py 两次(输出与记录日志),这会生成重复日志并占用磁盘;如果自动化使用,请调整以避免重复运行。
- 如果你希望技能能由代理自动调用,还要确认平台如何把 /nio_analysis 命令映射到这些本地脚本(当前包内未见代理集成代码或注册点)。
总体:技能并非恶意,但“宣称的功能”与“实际实现”不一致——如果你想要真实的实时分析或将其用于交易决策,请先要求作者修正或明确实现细节。Like a lobster shell, security has layers — review code before you run it.
latestvk97bc519qg251r05mz0kty8n0s84h8bx
License
MIT-0
Free to use, modify, and redistribute. No attribution required.