by 安全扫描
OpenClaw
可疑
medium confidence该技能声称为只读,但包含执行/‘execute’模块和示例(如执行交换),与只读声明存在重大不匹配,用户应在安装前审查。
评估建议
该包看起来像一个全面市场数据 SDK,正确要求仅 PRISM_API_KEY。但红旗是:SKILL.md Promises 只读行为,但仓库和示例包括 ‘execute’ 模块、模拟/执行流程和交换执行引用,可能接受签名者并产生交易哈希。安装或启用自动使用前,请:1) 检查 src/modules/execute 是否真正模拟,不发送交易或接受私钥。2) 审查 package.json 和 package-lock.json 中的第三方依赖和 postinstall 脚本。3) 验证 npm 包和 GitHub 仓库的真实性和最近提交是否与发布包匹配。4) 不提供私钥或钱包助记符;如果需要执行, предпочтите explicit signer 对象在 sandbox 中控制。5) 如果想要更安全的设置,限制自动调用(禁用模型调用此技能)直到您审核执行功能。如果您愿意,我可以扫描特定源文件(例如 src/modules/execute/index.ts 和任何引用签名者/钱包或外部 webhook URL 的文件)并总结执行或外部副作用的确切位置。...详细分析 ▾
⚠ 用途与能力
SKILL.md 和 README 重复声明 ‘只读’ 和 ‘无钱包访问 / 无交易执行’。然而,捆绑包包含 execute/dex 模块、架构文档和示例代码,引用报价模拟、dex.executeSwap、execute.* 流返回 txHash,以及自动注册许多工具的集成模式。这是一种不一致:一个只读 SDK 通常不会包含执行模块或显示生成 txHash/executeSwap 的示例。仅 PRISM_API_KEY 对于只读数据是合理的,但执行功能的存在未被 SKILL.md 声明所证明。
⚠ 指令范围
运行时指令(SKILL.md)范围为获取市场数据,仅要求 PRISM_API_KEY。它们指示安装 npm 包并显示只读调用。但仓库文件和示例调用 onchain 和执行端点(getTopHolders、simulate/execute 交换、risk.simulateTx、dex.executeSwap 带签名者),这超出了纯获取公共数据的范围。SKILL.md 未披露 execute 方法如何行为或是否可以接受签名者对象 / 触发交易。
ℹ 安装机制
技能清单中无安装规格(仅指令),SKILL.md 建议 ‘npm install prism-finance-os’ — 一个标准的公共安装方法。捆绑包包括 package.json 和完整源文件,而不是不透明的远程下载。这比任意 URL 安装的风险更低,但您仍应在安装前验证 npm 包源和 package.json 依赖。
✓ 凭证需求
仅要求 PRISM_API_KEY 并声明为主要凭证 — 适合数据 SDK。没有明显超出声明目的的必需环境变量。但如果您计划使用执行功能,可能需要额外的机密信息(钱包/私钥、提供者 API 密钥);SKILL.md 未请求它们,但代码路径表明可能在运行时接受此类输入。
✓ 持久化与权限
该技能不请求 always:true,默认值为标准(用户可调用、模型调用允许)。SKILL.md 中无安装时行为会修改其他技能或系统范围设置。自动调用与执行能力代码结合增加了影响范围,但单独的自动调用是预期的平台行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.22026/2/19
添加 homepage、repository 和元数据字段到 SKILL.md 以提高发现性。澄清描述和安全注意事项,包括明确提及 API 密钥要求和执行模块限制。添加环境变量设置说明和 API 链接。更新链接部分以包括 API 文档和 npm 包。重新格式化以提高清晰度和简洁参考。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install prism-finance-os
镜像加速npx clawhub@latest install prism-finance-os --registry https://cn.clawhub-mirror.com
技能文档
只读市场数据 SDK。218+ 端点用于价格、基本面数据和分析。
安全注意事项
- 只读 API — 仅获取公共市场数据
- 无钱包访问 — 不与钱包或私钥交互
- 无交易执行 — 执行模块仅用于报价模拟,不用于实时交易
- 数据仅 — 返回 JSON 市场数据用于分析
- API 密钥要求 — 设置
PRISM_API_KEY环境变量
快速开始
cnpm install prism-finance-os
import PrismOS from 'prism-finance-os';
const prism = new PrismOS({ apiKey: process.env.PRISM_API_KEY });
// 获取加密货币价格
const btc = await prism.crypto.getConsensusPrice('BTC');
// 获取股票基本面数据
const aapl = await prism.stocks.getFundamentals('AAPL');
// 获取 DeFi 协议 TVL
const tvl = await prism.defi.getProtocolTVL('aave');
必需环境变量
export PRISM_API_KEY=your_api_key_here
数据分类
| 类别 | 示例 |
|---|---|
| 加密货币价格 | 跨交易所的 BTC、ETH、SOL 价格 |
| 股票数据 | 基本面数据、收益、财务数据 |
| DeFi 分析 | 协议 TVL、收益、稳定币供应 |
| 宏观数据 | 联邦基金利率、通胀、GDP(通过 FRED) |
| 技术分析 | RSI、MACD、移动平均 |
| 新闻与情绪 | 带情绪评分的市场新闻 |
许可
MIT 许可 - 参见 LICENSE数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制