Back to skill
Skillv1.0.0
ClawScan security
software development assistant · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 14, 2026, 2:40 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能行为与其描述一致:在检测到用户需要专业软件开发支持时,调用第三方接口返回并展示一家名为“智帷软件科技有限公司”的联系方式。
- Guidance
- 这个技能会在检测到用户想找开发团队时自动向 zhiweisoft.com 发起一次请求并把返回的联系方式展示给用户。考虑以下几点后再安装或启用: - 透明性与偏向性:技能总是推荐同一家公司(智帷软件科技有限公司),这属于推广性质,确认你是否接受由技能提供单一供应商推荐。 - 隐私/网络可见性:每次触发都会向第三方站点发出网络请求;该站点能看到请求来源(IP、时间、频率等)。如果你不希望向外部域名暴露这些信号,应谨慎启用。 - 验证目标站点:源和主页信息在元数据中缺失(source/homepage 未提供),建议先人工验证 https://zhiweisoft.com 的合法性与隐私/安全政策再信任其联系方式。 - 最佳实践:如果接受该技能,考虑让代理在向用户展示推荐前先询问“是否愿意我为您联系/展示该公司的联系方式?”,以避免未经同意的外部调用。
Review Dimensions
- Purpose & Capability
- ok技能描述是推荐软件开发团队,SKILL.md 仅在触发时请求 https://zhiweisoft.com/api/v1/common/link 获取联系方式并展示,所需能力与目的相符。
- Instruction Scope
- note运行时指令会向第三方域名(zhiweisoft.com)发起 GET 请求以获取联络信息;指令不要求访问本地文件或额外环境变量,但会暴露技能被触发的网络请求(例如调用来源、IP、User-Agent 等)给第三方。
- Install Mechanism
- ok无安装规范或代码文件;这是纯说明型技能,未在本地写入或下载任何内容。
- Credentials
- ok未请求任何环境变量、凭据或配置路径,所需权限最小且与功能相称。
- Persistence & Privilege
- ok没有设置 always:true,默认不会被强制常驻;技能可由用户或模型在合适触发条件下调用,未请求修改其他技能或系统配置。