Back to skill
Skillv1.0.0
ClawScan security
三笙思考系统 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 10, 2026, 1:14 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能声称会自动读取/写入用户的 Notion 知识库以实现“案例调用与沉淀”,但清单中没有要求任何 Notion 凭据或配置,说明功能声明与实际需要不一致,应在提供凭据与自动写入行为前澄清风险与实现方式。
- Guidance
- 该技能自称会“检索并沉淀”用户的 Notion 知识库,但包清单没有声明任何 Notion 凭据或配置,这是不一致的信号。在考虑安装或使用前: 1) 向技能提供者/作者询问 Notion 集成的实现方式:是否需要你在平台上手动粘贴临时页面内容,还是会要求你提供长期 API 令牌(如 NOTION_TOKEN / database id)。 2) 切勿把长期、高权限的 Notion 工作区令牌交给不可信的或不透明的技能;如果必须提供凭据,优先使用最小权限、仅限于单个数据库/页面的有限令牌或临时授权。 3) 询问并确认写入行为的默认策略:技能是否会在未明确每次确认的情况下自动写入你的笔记库?是否可以设置为“仅在明确同意时写入”? 4) 要求显式的隐私说明和日志:需要知道技能访问了哪些页面、何时进行了写入、写入了哪些内容,以及是否保留了任何外部备份或分析数据。 5) 因为技能来源与主页均未知,优先在可信环境或使用受限账户/测试知识库进行试用;若提供源代码或更详细的实现说明(包括是否在 agent 端本地处理或会向外部服务发送数据),可重新评估可信度。 如果作者能明确说明 Notion 授权流程(声明需要哪些 env vars 或明确是交互式临时输入)、保证写入需用户确认且最小权限,且能提供可审计的实现说明或源代码,评估可上调为“benign”。
Review Dimensions
- Purpose & Capability
- concernSKILL.md 多次提到“去查 Notion 知识库”“把案例调出来参考”“对话结束自动沉淀新判断并写入 Notion”。要实现这些功能,通常需要 Notion API 令牌或类似凭据,但 registry 元数据与 requirements 列表未声明任何 env vars、凭据或配置路径——这与声明的功能不符,属于能力与所需权限不一致。
- Instruction Scope
- concern运行时说明明确表示会在对话中自动检索和(在用户同意后)将新判断写入 Notion 知识库,但没有说明如何认证、如何请求用户授权、是否会默认写入,说明模糊且有范围蔓延的风险(读取/写入用户私人数据)。说明中未包含任何读取本地文件或系统凭据的指令,这是好的,但对外部数据访问(Notion)的细节不明确。
- Install Mechanism
- ok这是一个 instruction-only 技能,没有安装规范、二进制或代码文件可写入磁盘,运行时没有自动下载/安装步骤,因此安装面风险最低。
- Credentials
- concern功能需要访问/写入 Notion,但 requires.env/primary credential 未声明任何 Notion 令牌或数据库 ID;这种不一致可能意味着实现依赖交互式请求凭据(尚未说明)或作者遗漏声明敏感权限。Notion 访问属于敏感权限(能读取/修改私人笔记库),应被明确声明并最小化权限范围。
- Persistence & Privilege
- note技能没有设置 always:true,也没有 install 脚本或自持久化组件——这限制了长期驻留风险。但 SKILL.md 描述“对话结束后主动询问并写入 Notion”的自动沉淀机制,若实现为自动写入并且 agent 可自主调用(默认允许),则会扩大影响面;目前因缺少实现细节只能标注为需澄清。