by 下载技能包
最后更新
2026/4/24
安全扫描
OpenClaw
安全
medium confidence该技能的代码、说明及所需的本地凭证文件均围绕研报查询集成设计(需国泰国君 API key 并调用 gtja 端点),但在存储 API key 前请确认信任该技能/来源,因其会读写共享本地配置并发起网络请求。
评估建议
安装前简明检查清单:
- 本 skill 会在本地 gtht-entry.json 文件中存储 API key(会在 skill 目录及上级目录的 gtht-skill-shared 内搜索/创建文件)。仅在你信任该 skill/来源保管 API key 时安装。
- skill 会向 gtja 端点(zx.app.gtja.com 与 apicdn.app.gtht.com)发起 HTTPS 请求进行认证与查询——请确认这些端点符合组织预期。
- SKILL.md 要求每条回答都附加固定免责声明,并强制使用基于 node 的认证命令(node skill-entry.js ...)。skill 会执行所提供的 JS,读写本地文件系统并发起网络请求。
- SKILL.md 存在小矛盾:声称 agent 只需读取 SKILL.md,而运行时命令却需执行 skill-entry.js;可视为笔误,如有疑虑请核查代码。
- 若对 skill 出处存疑(其自称“官方”),请向发布者索要证明或使用已审核的上游分发;勿将高权限或无关凭据用作本 skill 的 API key。 ...详细分析 ▾
✓ 用途与能力
名称/描述(研报搜索)与观察到的行为一致:读取/存储本地 API 密钥(gtht-entry.json)、连接网关端点(zx.app.gtja.com),并提供认证流程与查询调用。未请求无关的云凭据或无关的二进制文件。
ℹ 指令范围
SKILL.md 正确地将操作限制在 skill 目录和 gtht-skill-shared 配置内,强制使用 node,并要求显式 auth 命令。
小矛盾:SKILL.md 称“Agent 只需读取此文件,无需读取其他源文件”,但其记录的运行时命令(node skill-entry.js …)需执行 skill-entry.js,该文件会访问文件系统和网络。这更像是笔误/表述草率,而非恶意,但仍需注意该不一致。
✓ 安装机制
无需安装规范或外部下载;该技能仅包含指令和一个本地 JS 文件。安装器不会获取或提取任何远程代码。运行时仅向看似可信的 gtja 域名(gateway-config.json)发起网络请求。
✓ 凭证需求
该技能未声明环境变量,仅需本地 API 密钥文件 gtht-entry.json。对该文件的读写与其声明用途相符。注意:代码会在允许的共享文件夹中向上级目录搜索并可能复制/创建 gtht-entry.json,若你有其他工具共享这些路径,请审查此行为。
✓ 持久化与权限
always:false,且未检测到对其他技能或系统级代理设置的修改。该技能确实将 API 密钥文件持久化到 gtht-skill-shared 下的共享本地路径,这是认证流程的预期行为,但属于需要您管理/检查的持久化产物。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/24
lingxi-researchreport-skill v1.0.0 – 首次发布,可直接搜索国泰海通专业研究报告(含宏观策略、行业洞察等类型)。 - 严格规范目录/文件边界,支持跨平台 Node 指令执行,禁止使用系统 Shell 指令。 - 具备强制云端授权流程,支持 API 密钥管理功能。 - 提供清晰的用户授权提示,授权成功后可支持研报自动查询。 - 研报搜索 Skill 仅提供客观数据,调用本 Skill 后生成的内容,不构成投资建议。
● Pending
安装命令
点击复制官方npx clawhub@latest install lingxi-researchreport-skill
镜像加速npx clawhub@latest install lingxi-researchreport-skill --registry https://cn.longxiaskill.com镜像同步中