币安资金费率套利监控工具 - 查看账户、持仓、盈亏统计，SkillPay收费版

关键发现与建议（简明）： - 核心问题：该技能对外宣称“监控/查看”账号数据，但代码包含能执行真实合约下单、设置杠杆、开/平仓的函数——如果你提供有交易权限的 Binance API Key，技能可能会下单并产生真实资金损失。 - 权限最小化：如果你只想用监控功能，只向该技能提供“只读/查询”类型的 API Key（若 Binance 支持），绝不要使用带下单/提现权限的 API Key。最好用一个测试账号且资金极少的 API Key 做试验。 - 本地文件访问：start.sh 会 source ~/.config 下的文件，代码硬编码了日志路径到 /Users/zc/…，安装或运行前请检查并修改这些路径，避免泄露或覆盖你本地敏感配置与日志。 - 支付逻辑与文档不一致：SKILL.md/skill.json 标注每次 1 USDT，而 server.py 注释写 0.001 USDT，且 server.py 在 SKILLPAY_API_KEY 为空时会跳过支付验证（开发模式），说明支付实现/验证可能并不可靠。不要以为“已付费就能安全使用”。 - 操作建议： 1) 在隔离环境（虚拟机或容器）中先审阅并运行代码，或仅审查代码后移除/注释掉 open_position/close_position 及任何修改状态的代码。 2) 若只要监控功能，删除或禁用交易相关方法，或确认 server.py 不会调用任何会下单的方法。 3) 使用最小权限的 API Key（只读），并在 Binance 上为该 Key 关闭提现和（如可能）下单权限；优先使用测试网账号。 4) 检查并修改 start.sh 与日志路径，避免自动读取你的主目录凭据或写到硬编码路径。 5) 仅在你完全信任发布者并已审核代码后，才向技能提供真实、权限较高的密钥。 總结：该包存在多项不一致与越权实现，安装前需手动审查并调整代码与凭据策略；在未完成这些检查前，将其归类为“可疑（suspicious）”。

Type: OpenClaw Skill Name: binance-funding-monitor Version: 1.0.3 The bundle contains a Binance monitoring tool that includes unadvertised automated trading capabilities (opening/closing positions) in `funding_arbitrage.py`, despite the `SKILL.md` and `skill.json` describing it only as a monitoring tool. It also implements a non-standard 'pay-per-call' monetization gate via an external API (api.skillpay.me) in `server.py`. While no clear evidence of credential theft was found, the presence of active trading logic in a 'monitoring' tool and the requirement for high-privilege Binance API keys (needed for the hidden trading functions) poses a financial risk to the user.