证券监管监控

证券监管页面批量监控系统。自动监控深交所、上交所、北交所、股转系统、中国结算、证券业协会等21个证券监管页面，检测页面变化并生成通知。触发词：证券监管监控、深交所监控、上交所监控、北交所监控、证监会监控、证券页面监控。

摘要与建议（面向非技术用户）： 1) 有哪些不对劲的地方： - 文档里提到必须用到的抓取脚本和发送脚本（crawl_all.sh、crawl_generic.sh、check_notifications.sh、send_wechat_notification.sh 等）在包里并没有找到，只有两个调用封装脚本。也就是说，按说明运行很可能报“找不到脚本/路径”的错误，或代理会尝试访问 /root 下不存在的位置。 - 文档显示会向外部服务发起请求并需要敏感凭据（XCRAWL_API_KEY、WECHAT_OPEN_ID 等），但技能元数据没有声明这些必需的环境变量或凭据。未声明的凭据使用增加了意外泄露的风险。 2) 在决定是否安装/允许该技能之前应该做的事： - 要求技能维护者或发布者提供完整实现：把所有被引用的脚本（crawl_all.sh、crawl_generic.sh、check_notifications.sh、send_wechat_notification.sh 等）包含进来，或明确说明这些脚本来自何处如何安装。 - 要求在技能元数据中声明所有需要的环境变量/凭据（例如 XCRAWL_API_KEY、WECHAT_OPEN_ID），并只在受信任位置配置这些凭据；不要把凭据直接粘到公共配置文件中。 - 审查 send_wechat_notification.sh 和 crawl_generic.sh 的实现（或者让可信工程师审查），确认它们不会向未声明的第三方服务器泄露抓取数据或凭据。 - 在受控环境中先做一次干运行（sandbox）：在非生产机器上放置一个模拟的 /root/monitoring/securities 目录和最小脚本，验证技能不会尝试读取与你不希望泄露的其他文件（例如 ~/.ssh、/etc/credentials 等）。 - 如果不信任自动执行 shell 命令，禁止技能自动执行命令或禁止模型发起命令执行，改为人工触发并在人工审核后运行脚本。 3) 如果你需要快速决策： - 安全做法：在确认发布者和完整脚本前，暂不要安装或授予运行/修改 crontab、访问 /root、/var/log 权限。要求发布方补全缺失脚本并在 metadata 中列明所有敏感环境变量后再评估。 如果你愿意，我可以列出包内缺失的具体脚本文件名并生成一份给发布者的核查清单（需要哪些脚本、哪些环境变量、以及哪些路径访问权限）。

Type: OpenClaw Skill Name: securities-monitor Version: 1.0.0 The skill bundle is a management interface for a securities regulatory monitoring system designed to track updates across 21 Chinese financial platforms (e.g., SZSE, SSE, BSE). The provided files consist of shell wrappers (`check_updates.sh`, `run_monitor.sh`) and detailed documentation that interact with a pre-existing monitoring installation in `/root/monitoring/securities/`. No evidence of data exfiltration, malicious execution, or harmful prompt injection was found; the system's use of scheduled tasks (crontab) and diff-based change detection is consistent with its stated purpose of financial compliance monitoring.