by 安全扫描
OpenClaw
可疑
high confidence该技能大部分符合股票分析工具,但存在多处不一致和风险指令(Cookie 提取/授予终端完全磁盘访问权限、未声明的环境变量以及未解释的 'uv' 依赖),用户应在安装或运行前审查。
评估建议
安装或使用此技能前需检查的关键事项:
- 切勿仅为运行此技能而授予 Terminal/Terminal.app'完全磁盘访问权限'或给予广泛的操作系统权限。文档中的该指令对大多数设置是不必要的,并造成重大安全风险。
- Twitter/X 集成指导要求您提取浏览器 Cookie(AUTH_TOKEN、CT0)并将其存储在本地 .env 中。提取 Cookie 并存储为纯令牌可能泄露凭证;优先通过官方 API/开发者应用创建令牌,避免复制浏览器 Cookie。如必须使用社交功能,创建范围受限的 API 凭证,存储在安全秘密管理器中,避免完全磁盘访问。
- 元数据需要二进制文件 'uv'(通过 brew 安装)但代码库运行许多 python3 脚本。调查 'uv' 包/公式:谁维护它、它做什么以及为什么此项目需要它。不要在未验证来源的情况下运行未知的 brew tap 或公式。
- 在运行脚本前确认 python3 和任何 Python 依赖(requirements.txt)安装在隔离环境中(virtualenv/venv)。如将测试,考虑在隔离的 VM/容器中运行该技能。
- 审查脚...详细分析 ▾
⚠ 用途与能力
该技能声称是基于 Python 的股票/加密分析器,SKILL.md 中大多数命令运行 Python 脚本(python3 scripts/*.py)。但元数据需要名为 'uv' 的二进制文件且安装规范安装 brew 公式 'uv'。仅要求 'uv'(而不声明 python3)与提供的脚本不成比例且不一致。该技能还记录了可选的 Twitter 集成,要求浏览器 Cookie 令牌——该能力(访问浏览器 Cookie)未反映在 requires.env 或所需配置路径中。
⚠ 指令范围
SKILL.md 和文档指示用户从浏览器 DevTools 提取 Twitter/X 令牌,并明确告诉 macOS 用户'授予终端完全磁盘访问权限'以允许 bird CLI 工作。要求用户提取 Cookie 并授予终端完全磁盘访问权限对于典型的数据聚合技能是过度的,并引入凭证暴露的高风险路径。文档还建议 cron 任务并将投资组合/监控列表 JSON 文件存储在用户主目录(~/.clawdbot/...),这是预期的但应被声明。
ℹ 安装机制
唯一的安装机制是 brew 公式 'uv'。通过 brew 安装比下载任意归档风险低,但 'uv' 对于 Python 项目是意外依赖,且 brew 公式来源/tap 未指定。安装创建名为 'uv' 的二进制文件——安装前验证公式来源。Python 依赖(requirements.txt)无安装步骤,但代码库以 Python 为主。
⚠ 凭证需求
注册元数据中 requires.env 为空,但文档反复引用环境变量和 .env 文件(AUTH_TOKEN、CT0)用于 Twitter/X 集成,并指示在技能目录中创建 .env。这些敏感令牌未声明为所需凭证。该技能还在 TODO 中引用 SEC 身份并指示在 ~/.clawdbot 下写入文件——请求/使用的秘密和路径集合未充分指定,因此与声明要求不成比例。
ℹ 持久化与权限
该技能不请求 'always: true' 且不修改其他技能。它将状态写入 ~/.clawdbot/skills/stock-analysis(portfolios.json、watchlist.json),这对于投资组合工具是合理的但未在所需配置路径中声明。更大的持久性风险是文档指导将令牌存储在本地 .env 中并授予终端完全磁盘访问权限——如果存在于机器上,这些会增加攻击面。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv6.2.02026/1/14
🔮 Rumor Scanner: M&A rumors, insider activity, Twitter whispers, impact scoring
● 可疑
安装命令 点击复制
官方npx clawhub@latest install stock-analysis
镜像加速npx clawhub@latest install stock-analysis --registry https://www.longxiaskill.com
技能文档
使用 reportify-cli 命令分析个股和进行金融研究。对于复杂的多步骤研究,委派给 Reportify Agent。
快捷方式(如已配置):$search = reportify-cli search、$stock = reportify-cli stock、$quant = reportify-cli quant、$agent = reportify-cli agent
安装:pip3 install reportify-cli
API 密钥:在 https://reportify.cn/skills 获取密钥,然后设置:
export REPORTIFY_API_KEY="your_api_key"
代码格式
| 模块 | 格式 | 示例 |
|---|---|---|
stock / quant | 纯代码 | AAPL、600519、00700 |
search 代码 | 市场:代码 | US:AAPL、SH:600519、HK:00700 |
CLI 工具
公司数据(reportify-cli stock)
overview— 公司概况、业务摘要、高管信息income_statement— 收入、利润趋势(年度/季度)balance_sheet— 资产、负债结构cashflow_statement— 现金流生成、资本支出revenue_breakdown— 按业务/地区收入拆分shareholders— 主要股东
市场数据
reportify-cli stock quote— 日线价格、成交量、市值、PE、PSreportify-cli stock index_quote— 指数价格历史reportify-cli quant minute— 实时盘中价格(使用start_datetime/end_datetime配合HH:MM:SS)reportify-cli quant ohlcv— 日线 OHLCV K线
技术分析(reportify-cli quant)
compute_indicators— RSI、MACD、KDJ、BOLL、ATR 等compute_factors— PE、PB、ROE、ROA 等
文档研究(reportify-cli search)
reports— 研究报告(需要query)news— 财经新闻(需要query)conference_calls— 财报电话会议记录(需要symbols,可选query)earnings_pack— 财报资料包(需要symbols,可选query)filings— 公司公告(需要query+symbols)webpages— 网页搜索(优先于内置 web_search)
工作流
1. 公司概览
"介绍一下 AAPL"
→ reportify-cli stock overview --input '{"symbols": "AAPL"}'
→ reportify-cli stock quote --input '{"symbol": "AAPL"}'
→ reportify-cli search earnings_pack --input '{"symbols": ["US:AAPL"], "num": 1}'
2. 投资分析
"TSLA 值得买吗?"
→ reportify-cli stock overview + stock quote(基本面 + 估值)
→ reportify-cli stock income_statement(收入和利润趋势)
→ reportify-cli quant compute_indicators --input '{"symbols": ["TSLA"], "formula": "RSI(14)"}'
→ reportify-cli search reports --input '{"query": "Tesla", "symbols": ["US:TSLA"]}'
→ reportify-cli search conference_calls --input '{"symbols": ["US:TSLA"], "num": 1}'
3. 财务深度分析
"分析 MSFT 的财务状况"
→ reportify-cli stock income_statement --input '{"symbol": "MSFT", "period": "annual", "limit": 4}'
→ reportify-cli stock balance_sheet --input '{"symbol": "MSFT", "period": "annual"}'
→ reportify-cli stock cashflow_statement --input '{"symbol": "MSFT"}'
→ reportify-cli stock revenue_breakdown --input '{"symbol": "MSFT", "limit": 4}'
→ reportify-cli quant compute_factors --input '{"symbols": ["MSFT"], "formula": "PE_TTM()"}'
4. 财报回顾
"AAPL 财报回顾"
→ reportify-cli search earnings_pack --input '{"symbols": ["US:AAPL"], "num": 1}'
→ reportify-cli search conference_calls --input '{"symbols": ["US:AAPL"], "num": 1}'
→ reportify-cli stock income_statement --input '{"symbol": "AAPL", "period": "quarterly", "limit": 4}'
→ reportify-cli search news --input '{"query": "Apple earnings", "symbols": ["US:AAPL"]}'
5. 多股对比
"对比 AAPL vs MSFT vs GOOGL"
→ 每只股票执行 reportify-cli stock overview
→ 每只股票执行 reportify-cli stock quote(并排估值对比)
→ reportify-cli quant compute_factors --input '{"symbols": ["AAPL","MSFT","GOOGL"], "formula": "PE_TTM()"}'
→ 呈现对比表格
6. 新闻与情绪
"NVIDIA 最新新闻"
→ reportify-cli search news --input '{"query": "NVIDIA", "symbols": ["US:NVDA"], "num": 10}'
→ reportify-cli search socials --input '{"query": "NVIDIA AI", "num": 5}'
→ reportify-cli stock quote --input '{"symbol": "NVDA"}'(市场反应上下文)
深度研究模式(通过 Agent)
对于单个 CLI 命令无法处理的复杂任务,委派给 Reportify Agent:
何时委派:
- 跨季度对比:"2025 Q1-Q4 中 AWS 资本开支指引如何变化?"
- 多源综合:"鲍威尔在1月29日 FOMC 中对货币政策说了什么?"
- 跨季度管理层评论提取
- 需要文档检索 + 分析 + 结构化输出的研究
工作流:
# 步骤 1:创建对话
RESULT=$(reportify-cli agent create_conversation --input "{\"conversation_type\": \"bot_chat\", \"title\": \"用户的问题\"}")
CONV_ID=$(echo "$RESULT" | python3 -c "import sys,json; print(json.load(sys.stdin)['id'])")
TASK_URL=$(echo "$RESULT" | python3 -c "import sys,json; print(json.load(sys.stdin).get('url',''))")# 步骤 2:发送任务 — 关键:逐字传递用户的原始问题
CHAT_RESULT=$(reportify-cli agent chat --input "{\"conversation_id\": ${CONV_ID}, \"message\": \"用户的原始问题\", \"background\": true}")
# 步骤 3:用 TASK_URL 通知用户
深度研究示例:
- "2025Q3财报电话会里,台积电对CoWos的相关讨论是什么"
- "在2025Q1-Q4电话会中,亚马逊管理层对 AWS 资本开支的态度分别是什么?"
- "鲍威尔在2026年1月29日FOMC新闻发布会中对未来货币政策的描述"
- "在2025Q4电话会中,Meta管理层对AI推理算力需求的表述"
最佳实践
- 从概览开始 —
reportify-cli stock overview+stock quote获取上下文 - 组合来源 — 财务报表 + 指标 + 文档获取完整图景
- 正确的代码格式 —
stock/quant:纯代码;search:市场:代码 - 交叉验证 — 将财报电话会中的声明与实际财务数据对比
- 委派复杂性 — 单个 CLI 命令能处理 → 使用 CLI;多步骤 → 使用 Agent
参考
详细 API 参数见 references/api_reference.md。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制