by 安全扫描
OpenClaw
可疑
high confidence该技能指令称将调用 FinnHub、Serper 和 Jina API,并允许 'Read' 访问,但软件包中未声明任何 API 密钥、凭证或配置要求——这种不匹配是无解且风险高。
评估建议
在作者澄清如何提供外部 API 凭证以及为什么允许 'Read' 工具之前,请勿安装或启用此技能。请询问 (1) 明确的环境变量名称(例如 FINNHUB_API_KEY、SERPER_API_KEY、JINA_API_KEY)和任何本地文件访问的理由,(2) 该技能是否将存储或传输查询/选择数据到超出指定 API 的端点,以及 (3) 为什么该技能不可由用户调用但可以自主运行。如果凭证由平台提供,请验证最小权限范围并确保日志中不暴露机密信息且不发送到不可信任的主机。...详细分析 ▾
⚠ 用途与能力
SKILL.md 明确指出 FinnHub、SERPER_API 和 JINA_API 作为股票筛选的数据源,但技能元数据未声明任何必需的环境变量或主要凭证。依赖外部付费 API 的技能通常需要 API 密钥;未声明凭证的缺失是不合理的。
⚠ 指令范围
运行指令允许使用 Read、WebSearch 和 WebFetch。WebFetch/WebSearch 与声明的 web 来的目的相符,但 Read 工具可能允许任意本地文件访问,而 SKILL.md 未对读取本地文件进行辩解。指令还未说明如何提供凭证以及是否将检索的数据(搜索查询、提取的证据)发送到超出指定 API 的外部端点。
✓ 安装机制
这是一个仅指令的技能,没有安装规格或代码文件,因此安装时不会下载或写入任何内容。这样限制了直接的供应链风险。
⚠ 凭证需求
该技能将调用三个外部服务但声明零必需的环境变量。预期的变量,如 FINNHUB_API_KEY、SERPER_API_KEY 或 JINA_API_KEY,缺失。计划使用第三方 API 而不要求凭证是不成比例的和模糊的。
ℹ 持久化与权限
always 为 false(良好)。user-invocable 为 false,而 disable-model-invocation 为 false,意味着代理可以自主调用该技能,但用户无法直接调用它——这很不寻常,值得确认,但不够单独降级。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/3/6
Alpha Hound 技能的初始发布:- 启用基于复杂、可自定义条件的高级股票筛选。- 支持通过财务、估值、技术、行业和事件筛选。- 集成多个 API 用于数据提取、新闻/事件搜索和交叉验证。- 输出包含证据、风险评估和可执行下一步的候选股票列表。- 以 Markdown 格式提供简洁的表格摘要。
● 无害
安装命令 点击复制
官方npx clawhub@latest install alpha-hound-cn
镜像加速npx clawhub@latest install alpha-hound-cn --registry https://cn.clawhub-mirror.com
技能文档
目标
根据复杂筛选条件深度查询并筛选股票,输出候选与理由。输入
- 条件集合(财务、估值、技术、行业、事件)
- 市场范围(美股/港股/全球)
- 时间窗口与更新频率
方法
- 解析条件:将自然语言条件拆为可查询字段
- FinnHub API 筛选:基本面与财务指标
- SERPER_API 搜索:新闻/事件/行业热点
- JINA_API 抽取:提取网页核心证据
- 交叉验证:确认条件满足度与风险
输出格式
- 筛选条件摘要
- 候选列表(含满足条件的证据)
- 风险与不确定性
- 建议的下一步验证
- 要点表格(Markdown Table)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制