Back to skill
Skillv1.0.1
ClawScan security
科技资讯日报 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 13, 2026, 4:25 PM
- Verdict
- Benign
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 该技能总体上与“科技资讯/AI 大模型日报”的描述一致;包含调用 Tavily API(可选)和网页抓取作为回退方案,未见与描述明显不符的凭据或可疑外部下载,但文档中有少量拷贝/命名不一致需要注意。
- Guidance
- 总体上该技能看来是为获取科技/AI 新闻而设计且内部行为一致,但在安装/使用前请注意: - 文档中有拷贝/命名不一致(Brave vs Tavily、fetch_tech_news.py 的注释)——建议确认你要使用的是哪个搜索服务(Tavily),并删除或修正残留的 Brave 提及以避免混淆。 - 脚本会向 Tavily API(若配置)和列出的新闻站点发起网络请求;这会暴露运行环境的网络元数据(IP、请求头等)给这些服务。若你在受限环境或要避免泄露请求来源,请谨慎。 - 网站抓取通过简单的 HTML 正则解析实现,可能因目标站点结构变化而失败;抓取行为可能触及目标站点的 robots/使用条款,注意合规性与阻断风险。 - 如果你 care 关于隐私/凭据:仅在信任 Tavily 时才配置 TAVILY_API_KEY;若担心泄露,可使用无密钥的抓取回退(但抓取可能更不稳定)。 如需更高信心,请:查看/运行脚本的完整结尾(增强版脚本在提供的清单中被截断),并在隔离环境中审阅其实际网络目标与输出,或要求作者澄清 Brave/Tavily 的混淆。
Review Dimensions
- Purpose & Capability
- ok名称和描述宣称获取科技/AI 资讯,代码与说明一致:脚本调用 Tavily 搜索 API(可选)并在失败时直接抓取列出的科技网站,产生新闻摘要。这些权限与技能目的相符。
- Instruction Scope
- noteSKILL.md 与脚本总体说明了查询词、调用顺序和输出格式,范围集中在新闻抓取和摘要。需要注意的地方:文档与脚本中存在不一致(例如 fetch_tech_news.py 提到 BRAVE_API_KEY / Brave,而其他文件和主说明以 TAVILY_API_KEY 为主),以及 SKILL.md 第一点的表述也提到 Brave,这看起来像拷贝/编辑错误。除此之外,指令不会读取本地敏感配置或额外未声明的环境变量。
- Install Mechanism
- ok这是指令为主且包含 Python 脚本的技能,无额外安装脚本或远程下载步骤;没有安装未经审查的第三方二进制或从任意 URL 下载并展开的指令,风险较低。
- Credentials
- note仅可选地使用 TAVILY_API_KEY(脚本通过环境变量读取),这与技能目的直接相关并且为可选。异常之处是某个脚本/注释引用了 BRAVE_API_KEY,这未在 SKILL.md 中说明,属于不一致但不是明显的恶意行为。
- Persistence & Privilege
- ok技能未请求始终启用(always:false),也未要求修改其他技能或系统范围配置。它会在被调用时运行脚本并进行网络请求,权限与用途相符。