by 安全扫描
OpenClaw
可疑
medium confidence该技能声称的用途(只读 Binance 市场数据)是合理的,但其运行时指令声称具有持久化调度、跨技能同步、缓存和告警功能,却未明确说明数据存储位置或所需权限/凭据——这些不一致之处在安装前值得澄清。
评估建议
安装前,请向发布者确认以下问题:(1) 缓存数据存储位置(文件系统路径、数据库、保留策略)以及谁可以读取;(2) "同步到所有相关技能"的实际作用,是修改其他技能配置还是仅调用其公共接口;(3) 使用什么告警渠道以及是否需要任何告警凭据;(4) 确切的 Binance 端点(REST vs 合约 vs 指数端点)以及预期的速率限制/WS 连接;(5) 防止技能升级为交易或访问无关数据的保障措施。建议在受限环境中安装,限制出站网络主机仅限 Binance 域名,限制写访问仅限指定缓存目录,并记录所有自动化获取。如果发布者无法提供这些详情,请将该技能视为较高风险,避免授予其持久化/调度权限。...详细分析 ▾
ℹ 用途与能力
名称/描述(获取 Binance BTCUSDT/ETHUSDT 事件合约市场数据)与调用 Binance REST/WebSocket 公共端点的指令一致;公共市场数据通常不需要凭据,因此缺少必需的环境变量是合理的。然而,SKILL.md 声称 100% 准确性和每分钟 1 秒的获取 SLA——这是不切实际的保证,与正常的网络/API 行为不符。
⚠ 指令范围
指令告诉代理在代理启动时自动启动 cron 任务,每分钟运行,缓存结果,推送告警,并"同步到所有相关技能"。这些行为意味着持久化调度、本地存储和跨技能通信,但 SKILL.md 未提供缓存数据存储位置、告警如何传递或"同步"涉及什么(调用其他技能、写入其配置或发布到中央队列)的详细信息。该广泛范围未受约束,可能导致意外访问其他技能或本地数据。
✓ 安装机制
这是一个仅包含指令的技能,没有安装规范和代码文件,因此安装程序不会下载或写入任何内容。从安装角度来看风险较低。(README 显示了 npx 安装命令,但注册表元数据未列出安装规范——列出的命令仅作文档说明。)
⚠ 凭证需求
该技能声明没有必需的环境变量或凭据,这对于公共市场读取是合理的。然而,它还声称"同步到所有相关技能"和"推送告警",却未声明这些操作的任何令牌、端点或配置路径。这是一个不一致之处:跨技能同步或告警通常需要声明的通道/凭据或平台钩子。
ℹ 持久化与权限
注册表标志是标准的(always:false,允许模型调用)。但 SKILL.md 要求在代理启动后每分钟自动运行并进行持久化缓存。尚不清楚代理平台将如何授予技能持久化调度器或存储;该技能请求持久化运行时行为而未指定所需的平台权限。这种不匹配应该被澄清。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/18
- Binance 事件合约数据获取器初始版本发布。 - 每分钟自动从 Binance 获取官方 BTCUSDT 和 ETHUSDT 数据(支持手动 /binance-fetch-data 触发)。 - 为 10min/30min/60min 周期提供 K线、流动性、现货指数价格和合约规则数据。 - 严格使用 Binance REST/WebSocket API,具有完整数据验证、重试和缓存机制。 - 不允许第三方数据源;获取失败时推送告警并使用缓存/回退。
● 无害
安装命令
点击复制官方npx clawhub@latest install binance-event-contract-fetcher
镜像加速npx clawhub@latest install binance-event-contract-fetcher --registry https://cn.longxiaskill.com
技能文档
1. 场景定义
- 触发时机:Agent 启动后每分钟自动运行;也支持通过
/binance-fetch-data手动触发;全天候运行,与 Binance 7×24 交易时间对齐 - 核心意图:为 3 层共振策略提供 100% 准确、无延迟的 Binance 官方原生数据;拒绝所有第三方数据源
- 上下文:仅针对 BTCUSDT 和 ETHUSDT 交易对;仅覆盖 10min/30min/60min 事件合约周期;为信号计算、ICT 识别和风控提供底层数据支持
2. 目标设定
每分钟内完成 Binance 官方 API 数据获取(1 秒内);输出标准化的 BTC/ETH 全维度数据,100% 准确;价格数据完全匹配 Binance 事件合约结算现货指数价格;为策略信号计算提供无误的数据源。3. 执行规则
3.1 数据源规则
- 必须仅连接到 Binance 官方 REST API 和 WebSocket API
- 必须调用
https://api.binance.com(或适当的端点) - 禁止:调用任何第三方数据平台(火币、OKX 等)
3.2 固定获取交易对
- BTCUSDT(主要)
- ETHUSDT(次要)
3.3 强制获取数据维度
K线数据:
- 周期:1min / 10min / 30min / 1h / 4h
- 字段:open, high, low, close, volume, turnover
- 每个周期获取最近 200 根 K线用于指标计算
流动性数据:
- BTC/ETH 现货订单簿前 10 档买卖深度
- 计算买卖总额
- 验证买卖总额是否 ≥ 500,000 USDT
市场数据:
- 最新现货指数价格(Binance 事件合约结算锚点)
- 24 小时价格变化
- 买卖价差
合约规则数据:
- 当前可用到期周期(10min/30min/1h)
- 单笔交易限额(5-250 USDT)
- 日亏损限额规则
3.4 运行规则
- Agent 启动时自动启动 cron 任务
- 每分钟第 0 秒执行
- 获取后自动缓存
- 同步到所有相关技能供调用
3.5 数据验证规则
- 每次获取后自动验证数据完整性
- 接口超时或数据缺失时自动重试 3 次
- 重试失败则触发异常告警
- 使用之前有效的缓存数据作为回退
- 如果缓存可用则不影响策略运行
4. 示例输出
✅ 正面示例(标准输出)
【 Binance 事件合约数据获取完成 | 2026-03-18 12:10:00 】
- 交易对:BTCUSDT
- 最新指数价格:68245.32 USDT
- 10min K线:开盘 68198.45 / 最高 68289.12 / 最低 68176.33 / 收盘 68245.32 / 成交量 128.34 BTC
- 流动性:买方深度 892,000 USDT | 卖方深度 945,000 USDT | 合格 ✓
- 可用周期:10min / 30min / 1h 事件合约 — 全部可用
- 交易对:ETHUSDT
- 最新指数价格:3842.18 USDT
- 10min K线:开盘 3839.76 / 最高 3845.22 / 最低 3838.11 / 收盘 3842.18 / 成交量 986.25 ETH
- 流动性:买方深度 627,000 USDT | 卖方深度 583,000 USDT | 合格 ✓
- 可用周期:10min / 30min / 1h 事件合约 — 全部可用
数据已同步到信号计算模块 | 缓存有效期 60s
❌ 负面示例(禁止输出)
- 从 Binance 以外的交易所获取 BTC/ETH 数据(火币/OKX 等)
- 仅输出价格而不输出成交量、流动性或其他策略所需数据
- 使用延迟超过 1 分钟的过期 K线数据
5. 边界定义
禁止操作
- 不调用 Binance 交易 API 进行开仓/结算——仅进行数据获取和验证
- 不获取 BTC/ETH 以外交易对的数据
- 不存储用户账户隐私数据
异常处理
- 当 Binance API 维护中或达到速率限制时 → 立即推送告警,停止无效获取,API 恢复后自动重启
- 数据验证失败时 → 不向信号计算模块输出无效数据
回退策略
如果连续 3 次获取失败 → 立即推送"数据获取异常"告警,暂停信号生成直到数据恢复正常,避免因错误数据导致虚假信号安装
npx clawhub@latest install binance-event-contract-data-fetcher --dir /workspace/skills