Back to skill
Skillv1.0.0
ClawScan security
Ai Reviewer · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 1, 2026, 1:57 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能声明与实现一致:用于电商图片质检,所需权限与行为与描述相符,没有请求外部凭据或网络调用,主要在本地读取/写入自身配置和历史记录。
- Guidance
- 该技能在描述、说明文档和代码之间是一致的:它基于本地配置对传入图片路径打分并保存本地历史,不依赖网络或外部凭据。建议在安装前确认:1) 运行环境中提供给技能的图片路径是受信任的;2) 若不希望保存历史,删除或限制 memory/review_history.md 的写权限;3) 若你期望真实的视觉检测能力,注意当前实现使用固定默认分数作为占位,需集成真实的视觉模型或工具以得到准确评估;4) 如有合规或隐私顾虑,可审阅 agent.py 源码并在受限容器中运行。
Review Dimensions
- Purpose & Capability
- ok技能名称、描述、SKILL.md 与代码(agent.py)一致,均实现电商图片质量评估、规则加载、生成质检报告与迭代建议;所需文件仅限技能目录下的 config 与 memory 文件,未请求与用途无关的凭据或外部服务。
- Instruction Scope
- okSKILL.md 的运行指令和示例只涉及传入图片路径与创意简报、生成本地质检报告与历史记录。agent.py 的实现仅读取技能内的 config/quality_rules.json、config/reviewer_config.json,基于简单打分逻辑生成报告,并将历史追加到 memory/review_history.md;没有读取系统范围配置、环境变量或向外部终端发送数据。
- Install Mechanism
- ok无安装规范(instruction-only + 内含代码文件),没有通过下载或执行第三方二进制的步骤;代码文件随技能一并提供,未见外部包下载或可疑安装行为。
- Credentials
- ok技能未声明也未使用任何环境变量或凭据,所需访问局限于自身目录下的配置与历史文件,所请求的权限与其功能相称。
- Persistence & Privilege
- ok技能会在自身目录写入 memory/review_history.md(追加历史记录),这是合理的持久化行为;技能未设置 always: true,也不修改其他技能或系统级配置,自治调用为平台默认。