ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

E-commerce Data Analyzer

v2.7.0

电商数据分析工具,支持CSV销售数据上传、生成销售趋势图/产品排名/渠道收入占比/利润率分析/库存预警,一键生成PDF报告,集成SkillPay支付接口。适用于电商卖家分析销售业绩、生成业务报告。

0· 129·0 current·0 all-time
by@baolige2023
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能描述为电商数据分析并声明集成 SkillPay;代码确实实现了 CSV 上传、分析、PDF 导出和对 skillpay.me 的计费调用,功能上与描述一致。但 SKILL.md 与代码都将 SkillPay API Key 明文嵌入,这是实现细节可解释但不符合凭据管理最佳实践。
Instruction Scope
SKILL.md 的运行/部署说明与代码行为一致(pip 依赖、运行 scripts/app.py)。说明中公开了 API Key,并指示如何启用/禁用测试模式;指令未要求读取系统上无关文件或凭据,但包含网络调用(skillpay.me)用于计费,这会在运行时向外部服务发出请求。
Install Mechanism
没有自动安装脚本或来自不受信任 URL 的下载说明;这是一个源码/运行型应用,用户按说明安装 Python 依赖并本地运行,安装机制本身风险较低。
!
Credentials
requires.env 列表为空,但代码与 SKILL.md 中包含并使用了硬编码的 SkillPay API Key (sk_d11f39...). 这既不透明也不成比例:处理 CSV/分析并不需要公开共享或嵌入第三方计费密钥到代码库。应将该密钥改为运行时从安全环境变量读取,并在元数据中声明。
Persistence & Privilege
技能没有设置 always:true,也不修改系统范围配置。运行时会在技能目录下创建 uploads/reports/static/charts 等文件夹并写入生成文件,这仅限于技能目录范围,权限要求适中。不过 app.config['SECRET_KEY'] 使用静态值('your-secret-key')会使会话 cookie 可预测,应使用安全随机值或环境变量。
Scan Findings in Context
[hardcoded-api-key] unexpected: SKILL.md 和多个代码文件(scripts/app.py, test_payment.py, test_skillpay.py)包含明文 SkillPay API Key 'sk_d11f398e77b6e892...'. 虽然技能使用 SkillPay 合理,但将私钥嵌入代码/文档并不应该是公开分发包的一部分;应改为声明为需要的环境变量并由运行者提供。
What to consider before installing
该技能实现与说明一致,但存在明确风险:SkillPay API Key 被明文嵌入在 SKILL.md 和源码中。风险与后果:任何拿到这代码的人或仓库副本的人都能看到该密钥,可能被用于调用 SkillPay API(例如创建支付链接、查询/操作计费),具体影响取决于 SkillPay 的权限模型。在安装/运行前考虑: 1) 不要在公网/生产服务器上直接运行带有硬编码密钥的服务;只在本地受控环境或隔离容器中测试。 2) 要求作者或维护者将 API Key 移出代码,改为通过环境变量传入;如果你必须使用,替换为你自己的 SkillPay key 并在 SkillPay 控制台检查/限制该 key 的权限与来源。 3) 将 app.config['SECRET_KEY'] 替换为随机安全值或来自环境变量以保护会话。 4) 在首次运行时把 TEST_MODE 开启以避免真实计费并观察网络流量(确保没有将上传的数据发送到不相关的第三方)。 5) 验证 skillpay.me 域名和该服务的可信度——如果你无法确认 SkillPay 的合法性或密钥权限,避免使用。 6) 若已经在公开位置暴露该密钥,请联系 SkillPay 并尽快轮换/撤销该密钥。

Like a lobster shell, security has layers — review code before you run it.

chinesevk97cj90dx0gay0b47g3jw1mhmn83ecgcdata-analysisvk97cj90dx0gay0b47g3jw1mhmn83ecgcecommercevk97cj90dx0gay0b47g3jw1mhmn83ecgclatestvk97cj90dx0gay0b47g3jw1mhmn83ecgcpaymentvk97cj90dx0gay0b47g3jw1mhmn83ecgcpdfvk97cj90dx0gay0b47g3jw1mhmn83ecgcskillpayvk97cj90dx0gay0b47g3jw1mhmn83ecgc

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments