Dangerous exec
Critical
- Finding
- Shell command execution detected (child_process).
短视频黄金 3 秒钩子生成器
Security checks across static analysis, malware telemetry, and agentic risk
Overview
该技能的行为基本符合短视频钩子生成用途,但会运行本地 Python 脚本并保留本地使用统计,用户安装前应知晓这些本地执行和记录行为。
整体看起来是一个本地短视频文案生成工具,没有发现凭据窃取、外传或破坏性行为。安装前请注意它会运行本地 Python 代码,并可能在 data 目录保存你输入过的主题和使用统计;如果不需要每日统计,不要配置文档中的定时监控任务。
Static analysis
VirusTotal
VirusTotal findings are pending for this skill version.
Risk analysis
Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.
What this means
使用技能时会执行本地 Python 文件;如果未来更新的脚本被篡改,执行权限会随之带来风险。
Why it was flagged
技能入口会启动本地 Python 脚本执行命令;这是生成器实现的一部分,但仍意味着安装后会运行随技能提供的本地代码。
Skill content
const pythonProcess = spawn('python3', [scriptPath, command, JSON.stringify(args)]);Recommendation
仅从可信来源安装,并在更新时重新查看代码;发布方应在元数据中明确声明 Python 运行时依赖。
What this means
你生成过的主题可能保存在本地 data 目录中;如果主题包含商业计划或私密内容,本地日志也会包含这些信息。
Why it was flagged
监控脚本会把用户输入的主题、类型、平台和匿名用户标识写入本地使用日志,用于后续统计。
Skill content
"topic": topic,
"hook_type": hook_type or "未指定",
"platform": platform or "通用",
"user_id": user_id or "anonymous"Recommendation
避免输入敏感主题,或定期检查/删除技能 data 目录中的统计文件;发布方应明确说明保留期限和是否会上传。
What this means
如果你按文档配置了定时任务,监控脚本会每天继续运行并生成本地统计报表。
Why it was flagged
部署文档提供了创建每日定时任务的示例,用于运行本地监控报表。
Skill content
schtasks /create /tn "ShortVideoHook_Monitor" /tr "python C:\Users\11644\.openclaw\workspace\skills\shortvideo-hook\monitor.py report" /sc daily /st 19:00
Recommendation
只有在确实需要每日统计时报装该任务,并记录如何在 Windows 任务计划程序或 cron 中禁用它。