Back to skill
Skillv1.0.0
ClawScan security
dingtalk-log · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 6, 2026, 8:51 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 说明文档只描述如何调用钉钉的 topapi/report/list 接口,功能与声明一致;没有安装步骤或额外权限请求,但会需要应用的 appKey/appSecret(敏感信息),应谨慎提供并妥善存储。
- Guidance
- 这项技能本身只是一个调用钉钉接口的使用说明: - 在使用前准备好企业应用的 appKey 与 appSecret,并确认该应用已被授予“查询企业员工日志”的权限; - 将 appKey/appSecret 和任何产生的 access_token 视为敏感凭据,避免在不受信任的位置粘贴或上传;使用安全的秘钥管理/环境变量注入方式; - 注意隐私与合规性:该接口返回企业/员工日志数据,确保有权访问这些数据并遵守公司/法律的审计与保留要求; - 验证调用的域名和路径(文档中使用的 oapi.dingtalk.com 与 api.dingtalk.com 看起来与钉钉开放平台一致),避免把凭据发向不明第三方; - 如果你希望技能在平台中更安全地运行,建议发布者在 registry 元数据中显式声明需要的凭据(例如 PRIMARY_ENV 为 DINGTALK_APPKEY/DINGTALK_APPSECRET 或类似变量),以便安装时有明确的权限提示。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述明确为“调用钉钉 topapi/report/list 获取日志”,SKILL.md 的所有内容都与这一目的直接相关。没有请求与该目的无关的外部服务、二进制或安装包。
- Instruction Scope
- ok指令仅描述:获取 access_token(需 appKey/appSecret)、构造查询 body、调用 oapi.dingtalk.com/topapi/report/list、处理分页与错误。没有要求读取本地文件、系统配置或其它不相干的环境信息。
- Install Mechanism
- ok无安装说明、无代码文件、仅为运行时调用流程说明——这降低了磁盘写入或执行远程代码的风险。
- Credentials
- note文档明确需要应用凭证(appKey/appSecret)和由其换取的 access_token;这些都是敏感凭据且与功能直接相关。注册元数据中未列出任何 required env vars/primary credential ——这是信息不完全但并不必然恶意;建议在安装/使用前确认凭据的提供方式和存储位置。
- Persistence & Privilege
- ok技能为 instruction-only,registry 标记为 always:false,且无安装脚本或持久化行为描述,未请求对其他技能或系统配置的修改。