📦 Bitget Data — 自动网格交易
v1.0.0一键驱动 Bitget 多币现货网格:动态调参、风控、组合监控与盈亏分析,全程自动化。
0· 191·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence技能自述用途(Bitget 网格交易)与代码一致,但存在明显不一致与风险做法——缺失声明(Node 与 API 凭证)、绝对路径、明文 API 凭证嵌入仓库文件——仅可在仔细审查与修复后使用。
评估建议
安装或运行前须重点考虑:
- 切勿直接运行。仓库含大量 Node 脚本,若传入真实 API Key 将执行真实交易,可能直接损失资金。
- 明文凭据已出现在仓库文档:视其已泄露。若其中任何 Key 为真,立即轮换/吊销且永不再用。
- 注册元数据遗漏必需项:需要 Node.js 却未声明;技能要求 config.json 内含 Bitget apiKey/secret/passphrase,而 requires.env 未列出。请要求发布者修复清单并文档化运行时依赖。
- 优先将 API 凭据存入安全密钥库或环境变量。若必须用 config.json,请限制文件系统权限(chmod 600)并在隔离 VM/容器内运行。
- 先以模拟模式(isSimulation: true)或零资金测试账户运行。确保 API Key 无提币权限并加白 IP。
- 审查所有脚本(尤其 multi_agent_controller.js、cron 设置及调用外部端口的脚本),确认无数据外泄或向第三方回传。
- 因技能创建 cron 任务与常驻代理,请在安全受控环境(专用 VM/容器)运行并审计 cron...详细分析 ▾
ℹ 用途与能力
名称/描述与所含脚本一致:这是功能完整的 Bitget 网格交易工具箱(含部署/监控/优化脚本)。但包元数据声称无需环境变量或二进制,而 SKILL.md 及多数脚本假定 Node.js 与本地 config.json 含 Bitget API 凭据;该不一致需澄清。
⚠ 指令范围
SKILL.md 让代理(及用户)将 Bitget API 凭据写入特定文件(/Users/zongzi/.openclaw/workspace/bitget_data/config.json),通过绝对路径运行众多 'node' 脚本,添加 cron 任务并依赖本地代理(127.0.0.1:7897)。因此指令需文件系统访问、长期 cron 持久化、网络/代理访问与密钥存储。这些指令未超交易范围,但规定写入凭据到磁盘、调度任务等行为扩大了运行时权限与持久化面。
ℹ 安装机制
无安装规范(仅指令),限制远程代码下载。但存在多个 JavaScript 文件且 SKILL.md 假定调用 Node。注册表未声明 Node 或任何运行时依赖——不一致,应修复(声明需要 'node')。提供的数据中无外部归档/下载 URL。
⚠ 凭证需求
元数据未列所需凭据,而 SKILL.md 要求 config.json 存储 Bitget API key/secret/passphrase。更糟:仓库文档至少含一组显式 API key/secret/passphrase 示例(MULTI_AGENT_SETUP_GUIDE 出现看似真实的凭据:bg_73063f99…、secret ecdc7020…、passphrase Lin12345)。在文件中嵌入明文 API 凭据是高危做法(泄露或重用)。技能还引用多代理配置中的飞书 chatId/告警,暗示通知集成;这些额外集成扩大凭据范围却未声明。
ℹ 持久化与权限
always:false(好)。但 SKILL.md 等文档指示创建 cron 任务与多代理控制器,其定期运行并可修改本地配置(调度/持久化)。这增加运行时持久化与爆炸半径;本身非恶意,但结合嵌入凭据与绝对路径脚本后风险更高,需谨慎对待。
⚠ bitget-cli.js:89
检测到 shell 命令执行(child_process)。
⚠ quick-start.js:112
检测到 shell 命令执行(child_process)。
⚠ setup-cron.js:28
检测到 shell 命令执行(child_process)。
⚠ cancel-all-orders.js:10
环境变量访问结合网络发送。
⚠ check-balance.js:10
环境变量访问结合网络发送。
⚠ start-avax-matic.js:10
环境变量访问结合网络发送。
⚠ start-btc-grid.js:10
环境变量访问结合网络发送。
⚠ start-eth-xrp.js:10
环境变量访问结合网络发送。
⚠ start-eth.js:9
环境变量访问结合网络发送。
⚠ start-grids.js:11
环境变量访问结合网络发送。
⚠ start-simple.js:11
环境变量访问结合网络发送。
⚠ start-sol.js:10
环境变量访问结合网络发送。
⚠ test-api-debug.js:10
环境变量访问结合网络发送。
⚠ analyze-strategy.js:16
文件读取结合网络发送(可能外泄)。
⚠ apply-dynamic-grid.js:7
文件读取结合网络发送(可能外泄)。
⚠ apply-scheme-a-v2.js:12
文件读取结合网络发送(可能外泄)。
⚠ apply-scheme-a.js:12
文件读取结合网络发送(可能外泄)。
⚠ auto-monitor.js:11
文件读取结合网络发送(可能外泄)。
⚠ buy-bnb-limit.js:7
文件读取结合网络发送(可能外泄)。
⚠ buy-bnb-market.js:7
文件读取结合网络发送(可能外泄)。
⚠ buy-eth-market.js:7
文件读取结合网络发送(可能外泄)。
⚠ cancel-all-orders.js:16
文件读取结合网络发送(可能外泄)。
⚠ check-balance.js:15
文件读取结合网络发送(可能外泄)。
⚠ deploy-bnb-grid.js:7
文件读取结合网络发送(可能外泄)。
⚠ deploy-bnb-new.js:7
文件读取结合网络发送(可能外泄)。
⚠ deploy-conservative.js:10
文件读取结合网络发送(可能外泄)。
⚠ deploy-dynamic-grid.js:7
文件读取结合网络发送(可能外泄)。
⚠ deploy-eth-buys.js:7
文件读取结合网络发送(可能外泄)。
⚠ deploy-eth-grid.js:7
文件读取结合网络发送(可能外泄)。
⚠ deploy-highfreq-grids.js:10
文件读取结合网络发送(可能外泄)。
⚠ deploy-sell-orders.js:12
文件读取结合网络发送(可能外泄)。
⚠ deploy-ultra-grids-v2.js:10
文件读取结合网络发送(可能外泄)。
⚠ deploy-ultra-grids.js:18
文件读取结合网络发送(可能外泄)。
⚠ dynamic-adjust-v2.js:9
文件读取结合网络发送(可能外泄)。
⚠ dynamic-adjust.js:10
文件读取结合网络发送(可能外泄)。
⚠ dynamic-rebalance.js:12
文件读取结合网络发送(可能外泄)。
⚠ kline-analyzer.js:7
文件读取结合网络发送(可能外泄)。
⚠ monitor-fixed.js:14
文件读取结合网络发送(可能外泄)。
⚠ monitor-grid.js:14
文件读取结合网络发送(可能外泄)。
⚠ optimize-grids.js:16
文件读取结合网络发送(可能外泄)。
⚠ quant-trader.js:12
文件读取结合网络发送(可能外泄)。
⚠ quick-report.js:9
文件读取结合网络发送(可能外泄)。
⚠ redeploy-coins.js:9
文件读取结合网络发送(可能外泄)。
⚠ restart-final.js:9
文件读取结合网络发送(可能外泄)。
⚠ restart-grids-fixed.js:9
文件读取结合网络发送(可能外泄)。
⚠ restart-grids.js:9
文件读取结合网络发送(可能外泄)。
⚠ sell-btc-market.js:10
文件读取结合网络发送(可能外泄)。
⚠ smart-grid.js:16
文件读取结合网络发送(可能外泄)。
⚠ start-avax-matic.js:16
文件读取结合网络发送(可能外泄)。
⚠ start-btc-grid.js:16
文件读取结合网络发送(可能外泄)。
⚠ start-eth-simple.js:7
文件读取结合网络发送(可能外泄)。
⚠ start-eth-v2.js:7
文件读取结合网络发送(可能外泄)。
⚠ start-eth-v3.js:7
文件读取结合网络发送(可能外泄)。
⚠ start-eth-v4.js:7
文件读取结合网络发送(可能外泄)。
⚠ start-eth-v5.js:7
文件读取结合网络发送(可能外泄)。
⚠ start-eth-xrp.js:16
文件读取结合网络发送(可能外泄)。
⚠ start-grids.js:18
文件读取结合网络发送(可能外泄)。
⚠ start-simple.js:17
文件读取结合网络发送(可能外泄)。
⚠ start-sol.js:14
文件读取结合网络发送(可能外泄)。
⚠ test-api-debug.js:16
文件读取结合网络发送(可能外泄)。
⚠ test-grid-api.js:15
文件读取结合网络发送(可能外泄)。
⚠ test-order.js:9
文件读取结合网络发送(可能外泄)。
⚠ trade-analyzer.js:14
文件读取结合网络发送(可能外泄)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/19
Bitget-data v1.0.0 首次发布: - 专业 Bitget 集成,实现自动化网格交易与投资组合管理。 - 支持多币网格交易(BTC、ETH、SOL、BNB),含高级配置与动态调整。 - 提供监控、启停交易及生成报告等全套命令。 - 风险管理:仓位限制、下单限速与余额检查。 - 内置日志、分析、优化与快速报告工具。
● 可疑
安装命令
点击复制官方npx clawhub@latest install bitget-data
镜像加速npx clawhub@latest install bitget-data --registry https://cn.longxiaskill.com