📦 pionex-market — Pionex 市场数据查询
v1.0.0用于查询 Pionex 交易所市场数据的技能,支持价格、行情、订单簿深度、最近交易、符号信息(精度/最小数量)及 K 线数据查询。所有命令均为只读操作。
0· 17·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能功能符合其描述(只读 Pionex 市场查询),但存在元数据不一致问题,并要求在全局安装 npm 包——鉴于其用途合理,但考虑到注册表显示无安装/依赖要求,且包来源不明确,此举有些过度。
评估建议
该技能表面上是一个简单的市场数据助手,但在安装前需注意几个问题:1) SKILL.md 请求安装 @pionex/pionex-ai-kit(全局 npm 安装),而注册表元数据声称无安装要求——需询问发布者为何存在差异。2) 验证该 npm 包是官方的 Pionex 包(检查包页面、作者/发布者、GitHub 仓库及发布历史)并检查其源码或 tarball 中是否存在 postinstall 脚本或异常行为。3) 建议在隔离环境(容器、VM 或非全局 npm 前缀)中安装,而非全局安装。4) 如需更高安全保障,可要求提供签名校验和或与该包匹配的官方 Pionex 仓库/主页链接。这些步骤将降低风险并提高对该技能的信任度。...详细分析 ▾
ℹ 用途与能力
声明的运行时行为(通过 CLI 进行只读市场查询)与技能名称和描述相符。然而,SKILL.md 包含 requires.install 条目以安装 @pionex/pionex-ai-kit 及所需二进制文件 pionex-trade-cli,而注册表元数据未列出所需二进制文件或安装规范。这种不一致是用户应该注意的问题。
ℹ 指令范围
SKILL.md 范围狭窄,仅限于安装 pionex-trade-cli 并运行只读市场命令。它不指导读取无关文件、环境变量或向意外端点发送数据。不过,它确实要求进行影响主机环境的全局 npm 安装。
⚠ 安装机制
安装通过 SKILL.md 中提到的 npm 包(@pionex/pionex-ai-kit)进行。npm 安装是提供 CLI 的常见且合理的机制,但注册表元数据不包含安装规范(不一致)。由于该技能仅是指令性的,且包将从公共 npm 注册表拉取,您应在安装前验证包名称、发布者和源代码仓库;任意的 npm 包可能包含恶意的 postinstall 脚本或意外的二进制文件。
✓ 凭证需求
未请求环境变量、凭据或配置路径。该技能声称市场数据是公开的,不需要 API 密钥,这对于其声明的目的是相称的。
✓ 持久化与权限
always 为 false,且没有标志请求永久存在或修改其他技能。该技能确实请求安装 CLI(会在系统上创建二进制文件),但不请求提升权限或自动常驻安装。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
首次发布
● 无害
安装命令
点击复制官方npx clawhub@latest install pionex-market
镜像加速npx clawhub@latest install pionex-market --registry https://cn.longxiaskill.com镜像同步中
技能文档
用户未提供 SKILL.md 文档内容,无法翻译。