Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
品牌热点营销助手
v1.0.0AI 智能品牌营销工具:输入品牌名称,自动采集全网数据、分析当日热点、生成小红书图文内容
⭐ 0· 51·0 current·0 all-time
byqb-claw@dongxiaoke
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能声明为品牌热点采集与小红书文案生成,SKILL.md 要求 http 能力并指导通过第三方计费 API 验证 App-Key——这些与其描述相符,未请求与功能不相干的系统级凭证或路径。
Instruction Scope
文档强制要求代理先向 https://skills.zeelin.cn 的计费接口验证用户提供的 App-Key(这是合理的计费流程),但在生成内容的示例中把基础 URL 指为 http://127.0.0.1:8000(并备注“生产环境请替换”)。将默认示例指向本地回环地址是不寻常且风险较高:如果按示例执行,代理会尝试访问本机上的服务(可能不存在),或者被误导去访问内网/本地服务,带来 SSRF/本地资源访问风险。此外文档要求收集“全网公开数据”,但未说明确切数据源与外部域名(除计费站点外),使数据流向不够透明。
Install Mechanism
无安装脚本、无额外二进制依赖、且为纯说明型技能:这降低了直接写磁盘/执行远程可执行文件的风险。
Credentials
技能通过对话向用户索取第三方平台(智灵/skills.zeelin.cn)的 App-Key 以完成计费验证——这在按第三方计费的服务中是常见且可以理解的。但应注意:该 App-Key 是敏感凭证(能代表用户在该平台的配额/余额),在提供前用户应确认目标主机和数据使用规则,并避免重用在其它高权限用途的密钥。SKILL.md 没有要求其它无关凭证,这一点是合理的。
Persistence & Privilege
技能没有请求永久驻留(always=false)、也没有修改其它技能/系统设置的说明;会话中暂存 pre_order_id 等短期信息(文档称有效期 2 小时),这属于功能性会话状态,权限边界合理。
What to consider before installing
在决定安装或使用前请确认以下几点:
- 询问作者/提供方为什么示例生成接口默认指向 http://127.0.0.1:8000;要求对方给出正式生产 API 域名与 HTTPS 地址,且不要使用回环地址作为默认。不要盲目按示例发出请求。
- 如果提供你的智灵(App-Key),仅使用专用或耗额度有限的测试 Key;避免提交长期/高权限密钥或在多个服务中重用同一 Key。
- 要求对方披露数据采集的具体来源域名与隐私处理细则(文档中提到“全网采集”但没列出来源),并确认哪些数据会被发送到何处及保留期限。
- 仅在 HTTPS、明确的生产域名和可信站点上执行网络调用;若代理会访问本地或内网,请确认意图并评估风险(可能导致访问本地服务或泄露内部数据)。
- 可先用废弃/测试账号和少量额度试运行,观察网络调用目标与响应,再决定是否在生产环境中使用。Like a lobster shell, security has layers — review code before you run it.
latestvk971nm5jrhq4be4dcp62r3qedd83wmq7
License
MIT-0
Free to use, modify, and redistribute. No attribution required.