Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Aliyun
v0.1.0提供阿里云公开产品规格、定价、账单趋势及服务公告的合规摘要,不涉及账号操作或敏感信息处理。
⭐ 0· 200·1 current·1 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称与描述(汇总阿里云公开产品规格、定价、公告与账单趋势)与 SKILL.md 中列举的任务基本一致;将“控制台账单概览”也列为常见任务是合理,但这涉及个人可见数据,需额外说明保护措施。
Instruction Scope
SKILL.md 明确要求“登录控制台 → 访问账单页 → 提取周期与费用项”。虽然文件多次强调“不采集敏感凭据”,但指令本身要求访问用户已登录的个人控制台(敏感范围),没有说明代理应如何安全地获得该上下文或如何避免凭据外泄,指令对代理具有模糊/广泛权限。
Install Mechanism
无安装规范且为纯说明文件——不会在主机写入或下载额外代码,安装风险低。
Credentials
技能声明不需要环境变量或凭据,但任务包含访问需登录的控制台和个人账单数据。这是潜在不一致:要执行账单提取,代理或用户必须以某种方式提供认证上下文(浏览器会话、一次性令牌等),而 SKILL.md 未声明或约束这些渠道。
Persistence & Privilege
flags 表示 always:false,技能非强制常驻且允许用户调用;没有安装或修改其他技能/系统配置的行为。
What to consider before installing
该技能声称仅处理公开信息,但其运行示例包括访问“已登录的控制台和个人账单”,这会涉及敏感个人数据。安装前请确认:
- 你不会向技能直接提供账号密码或未受保护的令牌;
- 平台如何向技能提供已登录的浏览器会话或账单页面(是否会暴露 cookies/会话令牌)?
- 是否可以只使用公开产品页和公告,而避免登录账单页面;如果需要账单数据,优先使用经脱敏或导出的只读视图(例如只上传相关导出的 CSV 摘要)?
如果这些点没有明确保障,则将技能视为有隐私/凭据泄露风险,谨慎启用或仅在受控环境下使用。Like a lobster shell, security has layers — review code before you run it.
latestvk97b05x3yv4gp3jnsh5gmv68z1832kef
License
MIT-0
Free to use, modify, and redistribute. No attribution required.