Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
鸡尾酒顾问 cocktail-advisor
v1.0.0鸡尾酒顾问 Skill。触发条件:用户描述风味偏好、列出手中原材料、表达饮酒需求。覆盖六大基酒,提供精确配比、调制步骤和个性化推荐理由。
⭐ 0· 70·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名/描述与实际内容一致:提供基于材料、风味和场景的鸡尾酒推荐,内置配方库覆盖常见基酒,说明包含解析、检索、筛选和格式化输出,所需能力与描述相符.
Instruction Scope
SKILL.md 指示在需要时执行“实时搜索补充”,但没有限定搜索来源或声明网络权限;更重要的是,说明明确要求读取和更新 [WORKSPACE]/memory/cocktail-preferences.md(持久化用户偏好),但注册元数据没有列出任何必需的配置路径或文件访问权限——这是一个不一致点并且会导致写入工作区的持久性行为。
Install Mechanism
没有安装规范或代码文件(instruction-only),因此不会在系统上下载或安装第三方二进制或包,风险较低。
Credentials
技能不要求任何环境变量或凭证,所需凭证与功能匹配;唯一的额外权限需求是对工作区记忆文件的读写(在 SKILL.md 中出现),但这些访问未在元数据中声明。
Persistence & Privilege
always=false(正常)。技能会在工作区中持久化偏好(读取/写入 cocktail-preferences.md),这是一种常见行为,但用户应当知道该写入是持久的且未在元数据中声明。
What to consider before installing
这个技能总体上看起来是用来给出鸡尾酒配方和建议的,且没有安装或凭证需求,但在安装/启用前请注意:
- SKILL.md 明确要求读取并更新 [WORKSPACE]/memory/cocktail-preferences.md(会在你的工作区里写入持久数据)。如果你不希望技能在工作区写文件,或者想先审查写入内容,请不要直接授予写入权限。最好先备份该路径或在隔离的工作区/沙箱中运行技能以观察行为。
- 说明书中提到“实时搜索补充”,这意味着技能可能对外部网络发出查询以检索配方示例。确认你的环境能否/是否允许技能访问网络;如果你希望限制外部访问,应在代理/平台层面阻止网络调用或只允许手动触发。
- 源代码/主页未知,作者信息为空;这会降低信任度。若可能,要求技能提供源码或主页以便审查,或只在可控环境中启用。
- 如果你接受技能在工作区写入偏好且允许网络查询,风险相对较低;否则,将其作为只读/手动调用或在受限工作区中使用。Like a lobster shell, security has layers — review code before you run it.
cocktailvk97fvjph5580qr1chz96s5cemn83gbaphobbyvk97fvjph5580qr1chz96s5cemn83gbaplatestvk97fvjph5580qr1chz96s5cemn83gbaplifestylevk97fvjph5580qr1chz96s5cemn83gbap
License
MIT-0
Free to use, modify, and redistribute. No attribution required.