← 返回 Skills 市场
jcsoftear

股票持仓分析大师

作者 JcSoftEar · GitHub ↗ · v1.0.0 · MIT-0
cross-platform ⚠ suspicious
96
总下载
0
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install portfolio-analysis-pro
功能描述
股票持仓分析系统,用于管理股票投资组合,实时更新价格,分析盈亏,生成报告。使用当用户需要管理股票持仓、查看实时价格、分析盈亏情况、生成投资报告时。
安全使用建议
这套技能看起来确实实现了持仓管理与报告功能,但存在可被滥用的数据外发风险: - 不要在对公网或不受信任的局域网上直接运行。默认示例会绑定 0.0.0.0;若只供本机使用,请改为 127.0.0.1。 - 在暴露任何网络接口之前,添加认证/访问控制(至少 HTTP Basic/Auth token 或绑定 localhost)。尤其保护 /api/llm/config,因为它会写入 API Key 和 api_url。 - 不要将真实、敏感的 API key(OpenAI 等)写入未受保护的实例;考虑只在受控配置文件或环境中保存,并限制对写入接口的访问。 - 考虑限制出站流量或使用防火墙规则,以防服务被指示向恶意外部服务器发送持仓数据。 - 仔细审查并运行代码(或在隔离环境/容器中运行)以确认没有隐藏上传端点。日志可能包含敏感信息;检查并清理 logs/ 和 portfolio.db 的权限。 如果你需要更高置信度评估,我可以: - 完整展开并审查被截断的源代码部分(我注意到部分文件被截断),或 - 搜索代码中是否有任何向非金融/LLM 域发起请求的硬编码 URL 或隐蔽上传逻辑。
功能分析
Type: OpenClaw Skill Name: portfolio-analysis-pro Version: 1.0.0 The portfolio-analysis skill bundle provides a stock management system with AI-driven analysis, but it exhibits several high-risk security behaviors. Specifically, 'llm_manager.py' stores sensitive LLM API keys in a local SQLite database in plaintext and explicitly logs these keys (via HTTP headers) to a local log file. Additionally, the Flask web server in 'portfolio_system.py' lacks any authentication and binds to all network interfaces (0.0.0.0) by default, allowing anyone on the network to access the portfolio data or modify LLM configurations. While these appear to be critical security vulnerabilities rather than intentional malware, the handling of secrets and lack of access control pose a significant risk to user credentials.
能力评估
Purpose & Capability
代码和文档实现了名为“股票持仓分析”的功能(持仓管理、实时价格抓取、盈亏分析、报告、生成功能、网页 UI 和 LLM 辅助分析),与技能名称/描述一致。所需二进制(python)和 pip 依赖(requests, flask 等)与功能相称。
Instruction Scope
运行说明和 README 建议可用 start_server(host='0.0.0.0', ...),默认示例/文档会使服务对局域网可见。Flask 路由中有未认证的 API(例如 /api/llm/config POST、/api/stock/analyze/<symbol> 等),这些接口会读取数据库中的 LLM 配置并将持仓或分析内容发往配置的外部 API;SKILL.md/README 未强制或说明任何身份验证或访问控制,这超出了“仅本地管理持仓”的安全边界。
Install Mechanism
注册表元数据标示为 instruction-only (无 install spec),但 SKILL.md 内含 pip 安装项(requests, flask)。依赖使用常见 PyPI 包,安装方式常见且合理;没有看到远程二进制下载或可疑安装来源,但元数据/README 与 SKILL.md 在是否声明安装步骤上有小不一致。
Credentials
技能本身不要求环境变量或外部凭据(requires.env 为空),但代码在本地 sqlite 中保存可任意设置的 LLM API URL / API Key(llm_config 表),并且提供公开 HTTP 接口用于更新这些字段。因为 POST /api/llm/config 没有认证,攻击者或局域网内的其他用户可以利用该接口设置一个由其控制的 api_url,然后触发分析接口将本地持仓/日志/分析上下文发送到该外部 endpoint — 这构成凭据或数据外发的高风险路径。
Persistence & Privilege
技能没有设置 always:true,也未修改其他技能或系统范围配置。但示例建议绑定 0.0.0.0(局域网可见)且服务会写日志和 sqlite 数据库到磁盘(logs/, portfolio.db),在未加访问控制的环境中这些持久化产物可能被本地用户或其它进程访问。
如何使用
  1. 确保已安装 OpenClaw(本地或 Docker 部署)
  2. 在对话框中输入安装命令:/install portfolio-analysis-pro
  3. 安装完成后,直接呼叫该 Skill 的名称或使用 /portfolio-analysis-pro 触发
  4. 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
Initial release of the portfolio-analysis skill. - 提供股票持仓管理,包括添加、编辑、删除记录 - 支持实时价格更新和手动/自动切换,仅在交易时段自动同步 - 实时盈亏分析,计算总市值、盈亏额度及仓位占比 - 自动记录所有操作历史,便于追溯 - 一键生成Markdown格式持仓报告支持下载 - 提供完整RESTful API与PortfolioManager类接口 - 依赖requests和flask,无其它依赖
元数据
Slug portfolio-analysis-pro
版本 1.0.0
许可证 MIT-0
累计安装 0
当前安装数 0
历史版本数 1
常见问题

股票持仓分析大师 是什么?

股票持仓分析系统,用于管理股票投资组合,实时更新价格,分析盈亏,生成报告。使用当用户需要管理股票持仓、查看实时价格、分析盈亏情况、生成投资报告时。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 96 次。

如何安装 股票持仓分析大师?

在 OpenClaw 或 Claude Code 对话框中运行命令「/install portfolio-analysis-pro」即可一键安装,无需额外配置。

股票持仓分析大师 是免费的吗?

是的,股票持仓分析大师 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。

股票持仓分析大师 支持哪些平台?

股票持仓分析大师 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。

谁开发了 股票持仓分析大师?

由 JcSoftEar(@jcsoftear)开发并维护,当前版本 v1.0.0。

推荐 Skills
self-improving agent
Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Clau...
⬇ 463283 · by pskoett
Skill Vetter
Security-first skill vetting for AI agents. Use before installing any skill from ClawdHub, GitHub, or other sources. Checks for red flags, permission scope, and suspicious patterns.
⬇ 259410 · by spclaudehome
Polymarket
Query Polymarket prediction markets. Check odds, find trending markets, search events, track price movements.
⬇ 232503 · by joelchance
Self-Improving + Proactive Agent
Self-reflection + Self-criticism + Self-learning + Self-organizing memory. Agent evaluates its own work, catches mistakes, and improves permanently. Use when...
⬇ 200423 · by ivangdavila
Github
Interact with GitHub using the `gh` CLI. Use `gh issue`, `gh pr`, `gh run`, and `gh api` for issues, PRs, CI runs, and advanced queries.
⬇ 191115 · by steipete
ontology
Typed knowledge graph for structured agent memory and composable skills. Use when creating/querying entities (Person, Project, Task, Event, Document), linkin...
⬇ 190156 · by oswalpalash

💬 留言讨论