by 安全扫描
OpenClaw
安全
high confidence代码、声明的要求和运行指令与一个调用用户提供的股票数据 API 的 CLI 包装器一致;请求的凭证和二进制文件与其目的相符。
评估建议
此包似乎是一个直接的 Node CLI,它调用用户指定的 API。安装前:(1)仅将 STOCK_API_BASE_URL 设置为信任的主机——技能将发送 STOCK_API_KEY 到该主机的 X-API-Key 标头;(2)创建具有有限范围/权限和过期时间的 API 密钥(不要重用高权限密钥);(3)如果担心安全性,请检查包含的源代码(src/*.js)——它仅使用 fetch 和 dotenv,并调用 /api/v1 下的 API 路径;(4)如果希望限制来自第三方包的风险,请在隔离环境(或 sandbox/容器)中运行 npm install;(5)避免在技能目录的 .env 中放置无关的秘密,因为 dotenv 将加载它们。如果需要更高的保证,请确认 API_BASE_URL 指向您的后端或可信提供商,并在发布到生产环境前验证包作者/源。...详细分析 ▾
✓ 用途与能力
工具名称/描述与实现工具匹配。所需二进制文件(node)和主环境变量(STOCK_API_KEY)适合发送请求到 STOCK_API_BASE_URL 的客户端。没有请求无关的凭证或惊人的功能。
ℹ 指令范围
SKILL.md 指示在技能文件夹中运行 npm install,并执行包含的 CLI(node src/main.js ...),工作目录设置为技能 baseDir。代码使用 dotenv 从包根加载 .env(对于 CLI 预期),这将填充 process.env — 运行时仅使用 STOCK_API_BASE_URL、STOCK_API_KEY 和可选的 STOCK_API_TIMEOUT。一般在范围内,但注意 dotenv 将加载该目录中的 .env 中的任何其他密钥。
ℹ 安装机制
注册表中没有自动安装规范(仅指令),但包含 package.json 和 package-lock.json,SKILL.md 指示用户运行 npm install。唯一的运行时依赖是来自公共 npm 注册表的 dotenv。没有任意的远程下载、提取步骤或非标准安装程序。
✓ 凭证需求
技能需要 STOCK_API_BASE_URL 和主要凭证 STOCK_API_KEY(加上可选超时)。这些对于 HTTP API 客户端是合理的。没有请求其他无关的秘密、配置路径或广泛的凭证。
✓ 持久化与权限
技能没有请求 always:true,也不修改其他技能或全局代理设置。它仅对用户指定的 API_BASE_URL 执行网络请求。允许自主调用(平台默认),并且不会在这里引起额外的担忧。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.3.02026/3/16
新增 stock_detail_batch 批量查询股票详情工具和 stock_compare 股票对比分析工具
● 无害
安装命令
点击复制官方npx clawhub@latest install stock-filter-skills
镜像加速npx clawhub@latest install stock-filter-skills --registry https://cn.longxiaskill.com
技能文档
提供股票多条件筛选、热门因子管理、Jiuyan 数据查询和抖音热点分析的 CLI 工具集,涵盖 17 个工具,覆盖四大模块,帮助开发者高效处理股票相关数据和分析。
... (中间内容保持原文未翻译,仅示例) ...