Skillv1.2.0

ClawScan security

智合法律研究 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.

Scanner verdict

SuspiciousApr 15, 2026, 11:59 AM

Verdict: suspicious
Confidence: medium
Model: gpt-5-mini
Summary: 该技能总体功能与说明接近，但存在多处不一致与潜在数据泄露风险（会读取/写入本地配置并尝试读取其他工具的凭证），建议在安装前确认和修正这些问题。
Guidance: 要不要安装/使用这个技能前请考虑： - 明确凭证管理：脚本依赖 LEGAL_RESEARCH_TOKEN 和保存的手机号，但技能注册信息未声明这些要求。不要将敏感凭证以明文放在仓库里；优先使用平台的秘密管理（agent secret store）而非 assets/.env 或家目录文件。 - 拒绝读取他人凭证：scripts/research.sh 和 token-manager.sh 会尝试读取 ~/.openclaw/.env（旧位置），这可能包含其他技能或工具的令牌。除非你确认该文件只包含你允许的内容，否则视为高风险并要求删除/禁用该行为。 - 验证远端主机：所有 API 调用都指向 https://fc-openresearch-qzquocekez.cn-shanghai.fcapp.run。请确认该域名与智合AI官方服务一致（或由可信方托管）；若不确定，避免输入真实手机号或 token。 - 文档与实现不一致：SKILL.md 提及的 monitor.sh 在包内缺失，且 research.sh 有截断/拼写错误的迹象（代码片段中出现孤立字符），建议在信任并运行之前让作者修复并提供完整脚本及审计记录。 - 限制导出功能：token-manager.sh 有 export 命令会把 token 输出到 stdout，这会被 agent 或日志捕获并泄露。若使用，请删除或限制该命令。 - 最小化权限与隔离：若仍想试用，可在隔离环境（临时容器或受限用户）中运行，使用专门为该服务创建的测试账号与 token，不要用主账户/高权限凭证。总体建议：当前状态下“可运行但可疑”。在作者修复声明不一致、移除对 ~/.openclaw/.env 的读取、并明确凭证存储与导出策略前，不建议在生产环境或使用真实凭证时安装与启用该技能。

Review Dimensions

Purpose & Capability: concernSKILL.md 声称是连接智合AI平台并需要会员账号，但 registry metadata 列示无需环境变量/凭证；实际上脚本强烈依赖 LEGAL_RESEARCH_TOKEN 和保存的手机号（assets/.env），存在声明与实际需求不一致。
Instruction Scope: concern运行时指示会执行多份 Bash 脚本来登录、提交任务、下载与归档报告；脚本会读取并写入本地配置文件，并在某些路径（例如 ${HOME}/.openclaw/.env）查找旧凭证，这超出单纯的“对接外部 API”的最小必要范围。另外 SKILL.md 中引用的 monitor.sh 在包内并不存在（不一致），说明文档/实现不一致。
Install Mechanism: note无独立安装规范（instruction-only，但包含可执行脚本），因此不会在安装阶段从不受信任的 URL 下载二进制文件；风险来自脚本在运行时对磁盘和外部网络的写入/访问，而非安装器本身。
Credentials: concern虽然注册元数据未声明任何必需环境变量/主凭证，脚本却依赖并管理 LEGAL_RESEARCH_TOKEN 和 LEGAL_RESEARCH_PHONE（会写入 assets/.env 或用户目录下配置）。更重要的是，scripts/research.sh 和 token-manager.sh 会尝试读取 ${HOME}/.openclaw/.env（旧位置），这可能暴露其他工具/技能的凭证。token-manager.sh 提供将 token 导出到 stdout 的命令，增加凭证泄露风险。
Persistence & Privilege: concern技能会在本地创建/修改配置（assets/.env、archive/、以及 ~/.zhihe-legal-research/config），并有迁移/读取旧位置 (~/.openclaw/.env) 的逻辑。虽然 always:false，但读取其他目录的凭证和在用户主目录写入配置是明显的权限/持久化行为，应谨慎对待。