by 安全扫描
OpenClaw
可疑
medium confidenceNULL
评估建议
该技能看起来确实是为美股持仓分析设计的,但存在几个需要你确认的点:
- SKILL.md 要求使用 web-search/browser/vision 和 python3,但注册元数据没有列出这些依赖;请确认平台会以何种权限/范围提供这些工具。
- 技能会在 ~/.openclaw/memory/portfolio.json 写入并读取你的持仓快照——询问技能作者或平台:这个文件会如何保护(权限、加密)、会否被上报到远端、以及如何删除历史记录。
- SKILL.md 要访问多家数据源(包括社媒和 SEC),有些数据接口可能需要 API keys:确认是否会要求你提供任何凭证以及这些凭证如何存储和使用。
- 如果你要上传真实持仓截图或金额信息,请在确认数据存储/传输策略前谨慎操作;如果不愿持久化,要求技能提供一个不写磁盘的运行模式。
- 最后,任何自动化交易建议都可能带来财务与合规风险,考虑先在非实盘环境或仅获取分析(不自动下单)的前提下试用。
如果能得到明确回答(工具依赖、文件存放/保护策略、是否会上传或共享 portfolio.json、是否需要/如何存储 API 密钥),并且这些...详细分析 ▾
ℹ 用途与能力
技能声称提供基于实时美股数据的结构化持仓分析与交易建议;SKILL.md 要求使用 web-search/browser/vision 并收集 Yahoo Finance/SEC/Reddit 等公开数据源,这与功能声明相符。疑点在于 SKILL.md metadata 要求 python3 与一组工具,但注册元数据(registry metadata)显示“无需任何二进制/环境变量/配置路径”,两处不一致。
⚠ 指令范围
运行指令要求抓取大量外部实时数据源(Yahoo Finance, SEC, Reuters, WSJ, Reddit, X 等)并对用户上传截图做 OCR;这与分析目的合理相关,但 SKILL.md 还显式要求把持仓快照写入本地路径 (~/.openclaw/memory/portfolio.json)。该持久化、以及对多个外部来源的自动访问,没有在注册元数据或其他说明中声明细节(例如是否会把快照上传到任何外部端点),存在范围膨胀和潜在数据外泄风险。
✓ 安装机制
这是一个 instruction-only 技能,无安装规范,也没有代码文件——这降低了写盘安装类风险。但 SKILL.md 自身在 metadata 中要求 python3(bins)和若干工具(web-search, browser, vision),这些是运行时工具依赖,平台应明确是否会提供并限制它们的能力。
⚠ 凭证需求
注册信息列出无需任何环境变量或凭证,但 SKILL.md 指示要访问若干数据源(包括需要 API/认证的潜在服务或大规模抓取的社媒),没有说明是否需要或将使用任何 API 密钥/凭证。此外,技能会持久化包含持仓/金额等敏感金融信息的 portfolio.json,但没有对访问控制、加密或传输策略做出说明——这与用户敏感数据保护不成比例。
⚠ 持久化与权限
SKILL.md 要求将每次 Trade Actions 后的持仓快照保存到 ~/.openclaw/memory/portfolio.json 并在下次触发时读取,这赋予技能在用户主目录下的持久写入与读取能力。虽然写入自身“技能配置/记忆”可被认为正常,但注册元数据未声明任何配置路径,且没有说明该文件的安全性、可见性或是否会被上传到外部,增加了隐私与长期存在性风险。always:false 减低了持续自动化风险,但存在未声明持久存储的实际写盘行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/22
NULL
● 无害
安装命令
点击复制官方npx clawhub@latest install my-stock-analysis-skill
镜像加速npx clawhub@latest install my-stock-analysis-skill --registry https://cn.longxiaskill.com镜像同步中