Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Capability Radar
v1.0.0检测并标记能力缺口、重复模式和规则冲突,供架构进化使用。当以下情况发生时使用:(1) 某项任务因工具能力缺失或损坏而失败,(2) 同类型请求出现 3 次以上,(3) 规则冲突导致了错误行为,(4) 不得不使用临时绕过方案。目的:让 Claude Cowork 下次会话时能看到明确的进化信号,而非淹没在 memor...
⭐ 0· 285·1 current·1 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
Skill 的名称/描述与 SKILL.md 的目的基本一致:记录能力缺口、重复模式与规则冲突,供架构演化使用。要求写入 daily memory 并产出 skill 草稿在 autoskill/SkillBank 与宣称目的相符。
Instruction Scope
运行指令明确要求写入 memory/YYYY-MM-DD.md、在 autoskill/SkillBank/ 创建记录,并示例性使用 grep 来扫描 memory/*.md;这些是对持久化会话数据和文件系统的直接读写。SKILL.md 也给出明确的写入格式和扫描协议,范围广且具有长期影响,但元数据没有声明这些路径或任何批准/限制。
Install Mechanism
无安装规格且为 instruction-only,从安装角度无新增二进制或外部下载风险。
Credentials
不要求任何环境变量或凭据,所需权限与描述的功能(记录/扫描会话内存与生成演化建议)在表面上是成比例的。
Persistence & Privilege
技能明确依赖并会写入持久 memory 文件和在 autoskill/SkillBank 下创建记录,这是持久化改变代理状态的行为,但 skill 元数据没有申明需要访问这些配置路径或文件系统写入权限;这导致潜在的权限/审计空白。always=false(正常),但持久写入仍然具有显著影响。
What to consider before installing
这个 Skill 的目的合理:把遇到的能力缺口和重复错误结构化地写进 memory,供后续演化。但在决定安装/启用前请注意:
- SKILL.md 要求直接写入 memory/YYYY-MM-DD.md、在 autoskill/SkillBank/ 创建记录并读取 memory/*.md(示例用了 grep)。这些都是对持久化会话数据和本地文件系统的读写操作,应当有明确授权与审计。元数据并未声明任何需要的 config 路径或文件权限,这是一个不一致点。
- 虽然没有要求凭据或外部安装,但写入/读取 memory 可能泄露敏感会话内容。确认写入内容是否会包含机密(如私人信息、凭证或内部文档片段),并考虑对写入内容做脱敏或限制字段。
- 建议措施:要求 skill 明确列出将读/写的路径并在部署前审查这些目录;在 agent 执行写入前要求用户确认(或将写入权限限制到一个受控的、只放非敏感演化日志的目录);审查 autoskill/SkillBank 的访问权限和治理流程;审计 Cowork 启动时对 memory 的扫描行为以避免意外泄露。
总体而言,这不是明确的恶意行为,但存在重要的权责/持久化不一致,应在可见的权限和审计下才启用。Like a lobster shell, security has layers — review code before you run it.
latestvk9777103qgn0bgwdc5frr4ff8h83yf0b
License
MIT-0
Free to use, modify, and redistribute. No attribution required.