Back to skill
Skillv1.0.0
ClawScan security
Cognitive Coach · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 18, 2026, 9:38 AM
- Verdict
- benign
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能的声明、行为和要求在总体上自洽——它会静默处理你提供的聊天记录、提取费曼复习卡片并计划次日 9:00 的提醒,但它假定平台提供持久记忆与定时/主动推送能力且会在后台保存数据,安装与凭据要求并不超出其目的范围。
- Guidance
- 这个技能会:1) 静默读取并处理你主动上传的聊天记录(JSON),2) 在内部生成并保存复习卡(包含参考答案等隐藏字段),3) 尝试为你设定次日 9:00 的主动提醒并在该时间向你发出费曼问题。它不需安装、不请求密钥或外部网络凭据,这与其用途一致。但在安装前请确认:你的平台允许该技能进行持久化存储和主动推送(定时/通知权限);你是否接受技能在后台保留提取的复习卡(如果需要应有删除/导出机制);是否需要更透明的交互(例如在保存前展示将被提取的要点或要求一次性确认)。如果你需要更高信心,询问技能作者或平台提供者,确认技能使用的“内部记忆”位置、定时器实现方式以及如何删除已保存的数据。
Review Dimensions
- Purpose & Capability
- ok技能宣称做的是对用户对话记录去噪、提炼高价值知识并在次日发起费曼提问;SKILL.md 的指令专注于读取用户提供的对话 JSON、生成复习卡与设定次日 9:00 的触发器,这与‘认知教练’的目的相符,未请求与目的不相关的凭据或二进制。
- Instruction Scope
- note指令要求‘静默’读取并解析用户导出的对话 JSON、在内部保存隐藏的复习卡内容(topic, feynman_prompt, reference_answer),并在次日 9:00 主动向用户发送提问。这些动作本身与目的匹配,但技能明确要求后台静默存储与主动触发,可能对用户造成意外的数据保留或主动消息——需要平台上允许的主动消息/定时能力与明确的用户授权。
- Install Mechanism
- ok无安装规范、无代码文件、仅为说明文档——这降低了磁盘写入/第三方下载风险。
- Credentials
- ok未请求任何环境变量、凭据或外部配置路径;唯一处理的数据来源是用户显式提供的聊天记录,所需权限与功能与声明目的相称。
- Persistence & Privilege
- note技能依赖于‘内部记忆’和平台定时/闹钟能力来保存复习卡与触发次日提醒,但元数据没有明确声明对持久存储或推送权限的需求。技能没有设置 always:true,也未请求系统级配置,但用户应意识到技能会在后台保存提取出的复习卡并主动触达(如果平台允许)。