by 安全扫描
OpenClaw
安全
medium confidence该技能所请求的操作与资源符合投资研究流程,且仅为指令型(无代码/安装),但它引用了本地工具/配置(mcp-aktools、data_layer、~/.openclaw/config.json)却未声明为必需,启用前需快速检查。
评估建议
此技能的功能如其所述:编排投资研究工作流并生成 Markdown 报告。安装/使用前:
1) 确认你已拥有或信任其引用的外部组件——尤其是 ~/.local/bin/mcp-aktools 和本地 data_layer/ 包——因为技能假定它们存在,并可能读取其文件(缓存、日志、配置)。
2) 注意技能会向 memory/ 目录写入报告,并依赖 data_layer/cache 与 data_layer/logs;检查这些路径并设置合适权限。
3) 若需更高保障,可要求技能作者在元数据中声明所需配置路径/二进制(以便平台提示缺失依赖),或提供最小测试运行,展示哪些文件系统读写会发生。
4) 因技能集成外部数据提供商,请验证数据源(通过 mcp-aktools 的 AKShare)是否符合你的信任/隐私要求。若未安装 mcp-aktools/data_layer,技能大概率会直接失败而非静默泄露数据;务必只从可信源安装这些组件。...详细分析 ▾
ℹ 用途与能力
名称/描述(investment research workflow)符合说明:使用共享模块和数据层进行场景驱动分析。然而,SKILL.md 假定存在 mcp-aktools(~/.local/bin/mcp-aktools)和本地 data_layer/ 包(data_layer v2.2.0),尽管技能元数据未声明任何必需的二进制文件、环境变量或配置路径。对于所述目的这是合理的,但这是未声明的依赖,用户应知晓。
ℹ 指令范围
指令限定于研究任务(识别场景、调用共享技能模块、生成 Markdown 报告)。它们涉及读取/使用本地数据提供方,并将报告保存至 memory/(./memory/{标的}-{日期}.md)。同时引用 ~/.openclaw/config.json 作为 MCP 配置位置,以及 data_layer/cache、data_layer/logs。所描述的操作均停留在投资领域,但包含对前述路径的文件系统读写,而这些路径并未在技能元数据中声明。
✓ 安装机制
这是一个仅含指令的技能,没有安装配置,也不附带代码,从而将安装时的风险降至最低。唯一类似安装的部分仅是对外部组件(mcp-aktools、data_layer)的文档引用,而技能本身不会尝试下载或运行任何安装程序。
✓ 凭证需求
该技能在元数据中未请求任何环境变量、密钥或外部凭据。SKILL.md 也指出 mcp-aktools/Akshare 无需 API key。虽然引用了本地文件路径(用户主目录和 data_layer 目录),但未请求访问无关凭据或外部令牌。
✓ 持久化与权限
always 为 false,且该 skill 可被用户调用。该 skill 指示将生成的报告保存至 memory/,这对报告类 skill 属正常行为。它未请求永久驻留平台,也未声称修改其他 skill 或全局设置(仅记录了一个 MCP 配置示例,未指示覆盖)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/24
- investment-workflow 首次发布:场景驱动的投研全流程 Skill。 - 覆盖 6 个面向用户的投资研究场景:买股票、投行业、扫描推荐、行业看法、热点分析、开会讨论。 - 为每个场景定义清晰的输入、步骤(模块化/共享 skills)与输出。 - 集成 mcp-aktools 与 data_layer 作为模块化数据源,无缝获取金融数据。 - 标准化 Markdown 报告格式,含透明推理链与精确数据来源。 - 提供详细场景识别与示例用户流程,指导操作。
● 无害
安装命令
点击复制官方npx clawhub@latest install investment-workflow
镜像加速npx clawhub@latest install investment-workflow --registry https://cn.longxiaskill.com