by 安全扫描
OpenClaw
可疑
medium confidence技能描述和运行时指令与其监控目的相匹配,但存在明显的不一致(调用外部数据源和推送渠道通常需要凭证/配置,但技能声明没有必需的环境变量或安装/持久化细节)。
评估建议
安装前需验证三点:(1) 技能将在哪里存储用户监控列表和定时任务状态(路径、保留策略、加密方式)?(2) 调用列出的数据源和发送推送通知(飞书/微信)需要哪些凭证/令牌,以及如何提供——技能元数据目前未声明任何环境变量,需让作者声明所需环境变量和具体端点;(3) 如果需要该工作流,确认「一键分析」集成已实现(不仅是文本链接)。如果需要提供 API 密钥或 Webhook URL,确保其范围最小化,并确认技能文档说明了如何保护这些密钥。最后,考虑是否信任相关技能(fund-analyzer-pro、ttfund-skills、qieman-mcp),因为本技能依赖它们获取数据和进行分析。...详细分析 ▾
⚠ 用途与能力
SKILL.md 描述了被动监控、定时任务和推送告警(飞书/微信),并列出数据源(天天基金 API、且慢 MCP、新浪 API)。这些能力与所述目的一致。然而,技能元数据声明没有必需的环境变量、没有主要凭证、也没有安装步骤——但所述功能通常需要 API 凭证和推送渠道凭证。这种不匹配令人担忧。
⚠ 指令范围
指令详细描述了触发器、定时任务、数据源以及与 fund-analyzer-pro 的「一键分析」联动。指令要求存储用户监控列表、启动定时任务、调用外部 API 并发送推送通知。但未指定凭证来源或定时任务如何部署。「一键分析」集成有描述但标注为未完全实现(文本链接 vs 实际调用)—— 文档本身标记了这一差距。
✓ 安装机制
这是一个纯指令技能,没有安装规范和代码文件,因此没有安装时风险。这与将运行时操作委托给 agent 环境的技能一致。没有下载或解压的归档文件。
⚠ 凭证需求
SKILL.md 和评估文本引用了 API 密钥、推送渠道和持久化用户配置(评估还提到存储配置和环境变量管理)。然而,注册元数据列出零个所需环境变量和没有主要凭证。推送机制(飞书/微信)和某些 API 通常需要令牌/密钥—— 未声明环境需求的缺失与所述行为不成比例且不一致。
ℹ 持久化与权限
技能打算持久化用户监控列表并运行定时任务(心跳)。它不请求「always: true」或提升的平台权限。为此目的持久化用户监控列表是合理的,但你应确认数据存储位置、保留/加密方式,以及谁能读取它。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
基金信号监控 v1.0.0 - 被动监控五大信号(季报/经理/规模/波动/风格),与 fund-analyzer-pro 联动,skill-evolve 评分 9.2/10
● 无害
安装命令
点击复制官方npx clawhub@latest install fund-signal-monitor
镜像加速npx clawhub@latest install fund-signal-monitor --registry https://cn.longxiaskill.com