by 安全扫描
OpenClaw
可疑
medium confidence该技能运行时指令与妙想选股集成一致,但包元数据遗漏 MX_APIKEY 及 curl 依赖,且来源/主页未知——这种不匹配与出处缺失令人担忧。
评估建议
安装前请注意:1) SKILL.md 需 API 密钥 (MX_APIKEY) 与 curl,但技能元数据未声明——请让发布者补全,以便知晓将使用密钥。2) 技能会把您的 MX_APIKEY 发送至 https://mkapi2.dfcfs.com;只有信任妙想及该域名时才提供密钥。3) 未列出主页或可信来源——优先选择有明确发布页或文档的技能。4) 该技能仅含指令(无安装),不会在安装时写代码,但运行时会发起外向 HTTP 请求。若继续使用:请从妙想/技能官方页获取 API 密钥,移除技能后轮换密钥,并先用受限/测试密钥试用。若发布者无法解释缺失的 MX_APIKEY 与 curl 元数据,应将此视为警示。...详细分析 ▾
ℹ 用途与能力
SKILL.md 描述妙想选股集成,所述 API 调用与声明目的相符。但注册元数据未声明所需环境变量或二进制文件,而指令明确要求 API 密钥 (MX_APIKEY) 与 curl——声明需求与实际需求不一致。
✓ 指令范围
指令仅限定于构造 JSON 查询、POST 到指定端点 (https://mkapi2.dfcfs.com/finskillshub/api/claw/stock-screen)、解析 JSON 响应并转换为 CSV/列文档。指令未让智能体读取无关本地文件或向其他端点外传数据。唯一范围问题是未指定的转换脚本(留待实现),给予实现自由但非明显过度权限。
✓ 安装机制
无安装规范且无代码文件(仅指令),因此安装程序不会写入磁盘,安装风险低。注意:SKILL.md 期望 curl 可用;注册表未列出所需二进制文件,这是元数据遗漏而非主动安装风险。
⚠ 凭证需求
运行时指令需单一 API 凭证 (MX_APIKEY) 通过 HTTP 头传递——对服务而言属合理。但技能元数据错误地未列出所需环境变量/主凭证。此不匹配可能掩盖将使用/发送您的 MX_APIKEY 至 mkapi2.dfcfs.com 的事实,且技能未声明所有者主页以验证 API 密钥获取途径。
✓ 持久化与权限
技能非持续启用,不请求文件系统配置路径,也不修改其他技能或系统设置。允许自主模型调用(平台默认),但未与广泛凭证或持久权限结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/14
mx-select-stock 1.0.0 – 初始版本 - 通过妙想智能 API 提供 A 股、港股、美股选股筛选。 - 支持按用户指定指标、行业或板块过滤。 - 返回带中文列头的完整 CSV 筛选数据,并附列说明文件。 - 确保数据最新,避免过期金融信息。 - 包含分步使用说明、示例查询及输出格式指南。
● 无害
安装命令
点击复制官方npx clawhub@latest install mx-select-stock
镜像加速npx clawhub@latest install mx-select-stock --registry https://cn.longxiaskill.com
技能文档
概述
本技能使用妙想(Meixiang)股票筛选服务实现安全、最新的股票筛选。支持市场、财务指标和板块/类别约束的自定义筛选,返回完整数据表(CSV),包含中文列标题和补充说明文件。前置条件
- 从妙想技能页面获取 API 密钥。
- 将密钥导出到环境变量
MX_APIKEY:
export MX_APIKEY="your_api_key_here"
- 确保已安装
curl(macOS 标准配备)。
使用步骤
- 制定查询 - 将用户的自然语言请求转换为包含以下内容的 JSON 数据:
keyword - 筛选条件(例如,"今日涨幅2%的股票")
- pageNo - 页码(默认 1)
- pageSize - 每页行数(最大 100,根据需要调整)
- 执行 POST 请求: