Back to skill
Skillv1.0.0
ClawScan security
fortune-master-pro · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 11, 2026, 11:18 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声明的功能(多体系命理解读)与其实际指令、依赖和安装要求一致——它是一个纯文本/规则驱动的占卜/命理提示集,不请求额外权限或外部凭据,主要注意点是对用户敏感个人数据和情绪脆弱性的处理。
- Guidance
- 这个 skill 在内部自洽:它只是文本化的问答与输出模板集合,不会访问系统或外部服务,也不要求凭据。注意事项: - 隐私与敏感数据:技能会请求高度个人化信息(出生时间/地点、户型图等)。在把这类信息发送到任何第三方或集成前,请确认平台的对话日志、存储和备份策略;若在公共或共享环境使用,避免上传真实身份证号码、精确住址或未成年人信息。 - 情绪脆弱用户:占卜类回答可能被情绪脆弱的人过度依赖。技能包含明确的安全边界(禁止医疗/法律/投资替代、恐吓性结论),但部署者应考虑在界面上/使用场景中加入显著免责声明并在必要时建议求助专业机构。 - 商业使用与合规:若用于付费咨询、电商或自动化服务,确认消费场景下的退款、责任声明与合规(例如不得承诺疗效、投资回报等)。 总体建议:若您打算安装,主要检查平台如何保存/审计对话数据并在界面上向最终用户明示免责声明;技能本身没有代码或隐蔽网络行为,风险主要来自数据披露与使用场景。
Review Dimensions
- Purpose & Capability
- ok技能名和描述是一套多体系命理/占卜解读框架;SKILL.md 和各参考文档都定义了如何分流、分级、输出与禁区。没有声明或要求任何与此目的不相干的凭据、二进制或配置项——一致且成比例。
- Instruction Scope
- ok运行时仅为对话式流程和文本生成指令(如何询问用户、如何判断资料完整度、如何组织输出模板、哪些结论不能给出)。没有要求读取系统文件、环境变量、或将数据发送到未声明的外部端点。它会要求用户提供个人资料(出生时间、地点、户型图等),这与命理功能直接相关。
- Install Mechanism
- ok无安装规格、无代码文件需要执行(instruction-only)。风险最低:不会在宿主写入或下载可执行组件。
- Credentials
- ok不要求任何环境变量、API 密钥、系统配置路径或凭据;所需的用户信息(出生资料、牌阵、户型图等)与技能目的相符。没有列出不相干或过多的敏感凭据。
- Persistence & Privilege
- okflags 显示 always:false,user-invocable:true,disable-model-invocation:false——这是平台默认且合理。技能不会请求持久驻留或修改其他技能/系统级配置。