by 安全扫描
OpenClaw
安全
high confidence技能代码、声明依赖及运行指令均指向只读 Binance 分析工具,仅请求获取账户/交易历史所需的 Binance 密钥;未发现隐藏数据外泄或交易/提现功能。
评估建议
该技能功能如其所述:读取币安账户/交易历史并在本地运行模拟与复盘报告。启用前:1)仅使用限制为只读权限的币安 API 密钥,并在平台支持时启用 IP 白名单;2)优先通过平台环境变量注入密钥,而非在仓库或工作区创建 config.env 文件(代码会将其作为本地回退读取);3)确认代理平台对环境变量做技能隔离——只读密钥风险低,但停用后请轮换;4)如需额外保障,可审查完整仓库文件(已提供)或先以 Demo 模式(无需密钥)运行验证行为。整体文件与其声明的只读分析目的一致。...详细分析 ▾
✓ 用途与能力
名称与描述与所请求资源一致:BINANCE_API_KEY、BINANCE_API_SECRET 及 Node ≥18 运行时。代码调用币安只读端点(account、myTrades、futures income)并实现分析与模拟逻辑,未请求无关凭证、二进制或平台访问权限。
✓ 指令范围
SKILL.md 与 src/index.cjs 指示代理优先使用环境变量(推荐)或在开发时使用本地 config.env。运行期行为限于读取币安数据、分析、本地模拟并打印报告。代码仅在本地回退读取 config.env,且除币安外不向第三方端点传输数据。
✓ 安装机制
注册元数据与 SKILL.md 中无外部安装/下载步骤;包内为 Node.js 源码,需 Node ≥18。未提供安装脚本执行远程归档、URL 下载或包安装。
✓ 凭证需求
所需环境变量(BINANCE_API_KEY、BINANCE_API_SECRET 及可选 SPOT_SYMBOLS)与声明目的相称且必要。代码未请求额外密钥或无关配置路径,仅开发时读取本地 config.env 回退——合理但需注意本地存储(见指导)。
✓ 持久化与权限
always:false(非强制常驻)。技能不修改其他技能或系统级设置,正常运行期间不写入文件(若存在则读取 config.env)。允许代理自主调用(平台默认)但未结合其他可疑权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.3.32026/4/4
v1.3.3:新增 metadata.openclaw 块以保证注册表完整一致性。registry: 与 metadata.openclaw: 块现均声明环境变量与 Node.js 运行时。
● 无害
安装命令
点击复制官方npx clawhub@latest install shadow-binance-bot
镜像加速npx clawhub@latest install shadow-binance-bot --registry https://cn.longxiaskill.com