xerolite

📈 券商直连智能交易终端

OpenClaw官方出品的Xerolite交易集成方案,支持程序化下单、合约查询与实时通知,为量化交易者提供安全可靠的IB券商自动化通道。

收藏
848
安装
318
版本
v0.1.1
CLS 安全性认证2026-05-02
点击查看完整报告 >

使用说明

Xerolite 是 OpenClaw 框架与 Xerolite 交易平台(TradingView-to-IB 券商桥接服务)的官方集成技能,专为量化交易和自动化投资场景设计。该技能通过 Node.js CLI 工具提供完整的交易生命周期管理,包括通过 REST API 下达买卖订单、搜索可交易合约详情,以及接收并格式化 Xerolite 推送的实时交易通知 Webhook。

核心用法上,用户通过简单的命令行参数即可执行交易操作,如 node xerolite.mjs order place 配合 symbol、action、qty 等参数完成下单,或使用 contract search 查询合约信息。技能内置 Webhook 转换模块,能将 Xerolite 推送的原始 JSON 数据格式化为易读的交易通知,并自动转发至 Telegram 等即时通讯渠道。安装脚本会自动配置 OpenClaw 网关的 webhook 端点,实现即装即用。

显著优点体现在安全性与轻量性方面。作为 OpenClaw 官方组织(T2 级可信来源)维护的技能,其通过 BSS S 级安全认证,代码中完全避免 eval/exec/system 等危险函数,依赖 Node.js 18+ 原生 fetch 而无任何外部 npm 包,杜绝了供应链攻击风险。敏感信息完全通过环境变量注入,无硬编码密钥风险。安装脚本操作范围严格限定于用户主目录,并包含完善的错误处理。

潜在局限性包括平台依赖性较强,仅支持 Xerolite 生态系统和 Interactive Brokers(IB)券商,对其他交易平台无兼容性。功能相对专注基础交易,缺乏高级订单类型的显式支持。此外,Webhook 接收需要正确配置 Bearer Token 和网关重启,对非技术用户有一定配置门槛。

适合的目标群体主要是使用 TradingView 进行技术分析并需要通过 Interactive Brokers 执行交易的量化投资者、算法交易开发者,以及需要实时接收交易状态通知的多账户管理者。对于追求低风险自动化、希望避免复杂 API 集成的散户交易者同样适用。

使用风险方面,除金融市场固有的投资风险外,技术层面需确保 API 密钥通过安全的环境变量存储,避免泄露导致账户被盗用。建议强制使用 HTTPS 协议传输并定期轮换 API Key。由于技能会直接操作真实资金账户,配置错误可能导致非预期交易,建议先在模拟盘充分测试。Webhook 端点暴露于公网时需确保 token 复杂度足够,防止伪造通知。

安全解读

核心用法

xerolite 是 OpenClaw 官方仓库提供的交易集成 Skill,用于连接 Xerolite 交易平台(TradingView 到盈透证券 IB 的桥接器)。安装后,用户可通过自然语言指令完成:

  • 程序化下单:支持 BUY/SELL 操作,指定标的代码、数量、货币、资产类别及交易所
  • 合约搜索:查询可交易合约的详细信息
  • 实时通知:接收 Xerolite 推送的订单状态、成交回报等 webhook 事件

典型使用流程:配置环境变量 XEROLITE_API_URLXEROLITE_API_KEY → 运行 install.sh 完成 webhook 端点配置 → 通过 CLI 或 Agent 指令执行交易操作。

显著优点

1. 官方可信来源:来自 openclaw/skills 官方仓库,安全认证评分 A 级,信任等级 T2
2. 零第三方依赖:仅使用 Node.js 18+ 内置 fetch,无供应链攻击风险

3. 功能闭环完整:涵盖下单、查合约、收通知三大核心场景,满足自动化交易需求

4. 配置灵活:通过环境变量管理 API 密钥,避免硬编码泄露

5. Webhook 原生支持:自动格式化交易事件为可读通知,支持 Telegram 等渠道推送

潜在缺点与局限性

  • 资金安全依赖外部平台:所有订单最终发送至 Xerolite/IB 系统,Skill 本身不验证交易逻辑,用户需自行承担滑点、流动性及平台风险
  • 允许不安全内容:Webhook 转换模块设置了 allowUnsafeExternalContent: true,理论上可能转发未经滤除的 XSS 内容(尽管 Xerolite 为可信来源)
  • 配置修改侵入性:安装脚本会修改 OpenClaw 主配置文件并重启网关,可能影响其他 Skill 运行
  • HTTPS 未强制校验:代码未强制要求 API URL 使用 HTTPS,存在中间人攻击隐患
  • 认证头代码被注释:当前版本 Authorization header 被注释,实际请求未携带 API Key(疑似 bug)

适合人群

  • 量化交易者:希望将 TradingView 策略信号自动转化为 IB 账户订单
  • 多账户管理员:需要程序化查询合约、批量下单的资深用户
  • 技术型投资者:熟悉环境变量配置、能接受 CLI 操作的交易者

常规风险

| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 资金损失风险 | Skill 直接操作真实交易账户,错误参数可能导致意外成交 | 先在模拟账户测试;严格校验 symbol/qty/action |
| 数据外泄风险 | 交易数据(标的、方向、数量)上传至 Xerolite 服务器 | 确认 `XEROLITE_API_URL` 为 HTTPS;阅读 Xerolite 隐私政策 |
| 配置损坏风险 | install.sh 修改全局配置文件 | 安装前手动备份 `~/.openclaw/openclaw.json` |
| 通知内容风险 | `allowUnsafeExternalContent` 可能转发恶意 payload | 确保 Xerolite webhook 来源可信;关注后续版本修复 |

免责声明:本 Skill 涉及真实资金交易,认证结果仅评估代码安全性,不保证功能准确性及交易盈利。

xerolite 内容

references文件夹
scripts文件夹
transforms文件夹
手动下载zip · 8.3 kB
API.mdtext/markdown
请选择文件