by 安全扫描
OpenClaw
可疑
high confidence代码与说明基本匹配,但缺乏明确来源、持久化监控和主动警报实现,需谨慎对待。
评估建议
["安装前考虑:(1) 源信任:无主页或知名发布者,视为未验证。 (2) 行为不匹配:SKILL.mdpromises持久化监控和主动警报,但脚本仅执行按需HTTP获取,无持久化或背景监控。 (3) 网络活动:脚本向第三方财务端点(sina, eastmoney, xueqiu, 10jqka)发出出站请求。 (4) 安全性:交易推荐可能不正确,不将输出视为权威财务建议。 (5) 推荐操作:自行审查fetch_stock.py代码(或在沙盒中运行)、验证缺失的监控实现,如果需要警报,并偏好具有可验证来源/主页或活跃维护存储库的技能。"]...详细分析 ▾
ℹ 用途与能力
名称/描述(A股交易助手)与包含的脚本和数据源引用一致:Python脚本从Sina、Eastmoney、Xueqiu和10jqka获取实时数据,如广告所述。代码实现单股、指数和热点行业查询,符合技能目的。
⚠ 指令范围
SKILL.md声明工具将“记录目标价格、预警条件到references/watchlist.md”并将“在后续对话中主动核对预警状态”。存储库清单和提供的脚本不包括references/watchlist.md,fetch_stock.py也不实现持久存储、背景监控或计划/主动检查。SKILL.md还提到一个回退“web_fetch”路径;没有单独的web_fetch实现。这些是指令和交付代码之间的范围/行为不匹配。
✓ 安装机制
无安装规格;这是指令 + 一个按需运行的Python脚本。技能包本身不执行外部安装程序或下载。
✓ 凭证需求
技能不请求环境变量、凭证或配置路径。脚本仅向公共财务API(sinajs、eastmoney、xueqiu、10jqka)发出出站HTTP GET请求,与声明的功能成比例。
⚠ 持久化与权限
SKILL.md暗示持久化功能(存储监控列表并在后续对话中主动重新检查警报)。技能未标记always:true,包中未实现任何持久化/背景过程。这种不匹配可能导致用户期望技能会监控警报,但它无法做到;它不请求高级权限,但声称的持久化未实现。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/6
A股股票智能交易助手首发上线,全面支持A股行情与分析,包括自动识别A股代码、实时获取行情数据、支持大盘/个股/板块/策略/预警等六大核心能力。
● 无害
安装命令 点击复制
官方npx clawhub@latest install a-stock-trading-assistant
镜像加速npx clawhub@latest install a-stock-trading-assistant --registry https://cn.clawhub-mirror.com
技能文档
专业A股交易助手,提供沪深市场实时行情、个股分析、大盘情绪、热点板块、交易策略和价格预警服务。... (原SKILL.md内容保留不翻译,仅示例)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制