Back to skill
Skillv0.1.0
ClawScan security
email-designer · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 13, 2026, 10:46 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 此技能是一个说明型(instruction-only)邮件设计助手,功能、要求与运行时指令在目的上保持一致——它生成固定 700px 的 HTML 邮件模板,不要求凭证或额外安装,但会引用外部字体和图片资源,应在发送前人工审查与测试。
- Guidance
- 这是一个纯说明型技能,目标明确且内部一致,但在安装/使用前请注意: - 生成的 HTML 会引用外部资源(Google Fonts、images.unsplash.com),发送前请确认这些外链是否符合公司的隐私与合规策略,并考虑字体/图片的可用性与加载影响。 - 该技能强制采用固定 700px、禁止响应式(no @media / no max-width)。如果你需要邮件在移动端有良好体验,这与现代最佳实践冲突——在真正发送给用户前务必在主流邮件客户端和手机上测试渲染效果。 - 它不会请求凭证或安装程序,但生成的 HTML 可能包含外部链接/跟踪链接。始终在发送前人工审查并替换占位 URL(IMAGE_URL、# 等)。 - 检查图片使用许可(Unsplash 的具体使用条款)及是否需要本地托管图片以避免外部请求或跟踪。 总体来说,技能在目的与实现上是一致的,安全/权限要求低;风险主要来自生成内容所引用的外部资源和设计决策(固定宽度、非响应式),请在生产使用前做常规审查和测试。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述是“Email HTML 设计”,SKILL.md 的内容完整描述了如何生成邮件 HTML、预制件和设计系统,所需权限为零,与其用途一致。
- Instruction Scope
- note指令严格限定在生成邮件 HTML(700px 固定宽度、图片 display:block、禁止响应式等),没有要求读取本地文件或环境变量;注意它强制禁止响应式设计并建议使用外部图片(images.unsplash.com)与 Google Fonts CDN,这意味着生成的 HTML 会引用外部网络资源。
- Install Mechanism
- ok无安装规范、无代码文件(instruction-only),因此不会在运行时写入磁盘或下载安装包,安装风险最低。
- Credentials
- ok不请求任何环境变量、凭证或配置路径。没有不相称的凭证访问请求。
- Persistence & Privilege
- okflags 显示为默认(always:false),不要求常驻权限或修改其他技能/系统配置;允许自主调用为平台默认,不构成单独的风险。