Back to skill
Skillv1.0.1
ClawScan security
酒店采购价格监控 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 20, 2026, 8:16 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能的声明、脚本与运行说明在用途上基本一致——用于从公开网站并发抓取和汇总价格,不要求秘密凭据或安装可疑软件。
- Guidance
- 这个技能看起来是做它声称的事:并发查询公开价格来源并给出建议。注意事项: - 使用时代理/环境需要有网络访问权限(web_search/web_fetch 会访问外网)。 - 如果要启用更精准的 1688 数据,才需要提供 1688 的 API Key ——只在确实需要时提供,避免把通用凭据放入全局环境。 - 文档提到的“缓存10分钟”和“调用 AI 分析”主要是行为说明,实际脚本并未实现缓存,智能分析通常由平台的模型处理;如果你需要缓存或更复杂的数据清洗,请要求作者提供实现细节或审阅更完整的代码。 - 总体上无需敏感凭据,适合在可信网络环境中使用。
Review Dimensions
- Purpose & Capability
- ok技能名/描述(酒店采购价格监控)与包含的脚本和说明一致:并发查询农业与电商公开数据源并做价格分析。没有请求与用途不符的凭据、二进制或配置路径。
- Instruction Scope
- noteSKILL.md 指示使用 web_search + web_fetch 并发查询公共来源;随包脚本实际调用 web_search。作者声明的缓存(10分钟)与部分“调用 AI 分析”的行为是说明级别,脚本本身只封装了查询逻辑并输出结果,智能分析显然由平台/代理侧完成。总体范围未越界,但文档与脚本存在小的不一致(web_fetch 未在脚本中使用、缓存未实现)。
- Install Mechanism
- ok无安装规范(instruction-only)且包含两个小型 shell 脚本;没有下载不明二进制或外部安装步骤。风险较低。
- Credentials
- ok不要求任何环境变量或凭据;文档提到可选的 1688 API key(仅在需要更精确 1688 数据时使用),这是合理且可选的。没有发现要求不相干的密钥或高权限访问。
- Persistence & Privilege
- okalways:false,技能为用户可调用且默认允许代理调用(平台默认行为)。技能不会请求或修改其他技能/系统配置。