Back to skill
Skillv0.1.0
ClawScan security
导出治理与审批 (Agentic AI 科研平台) · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 27, 2026, 1:44 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能总体目的合理但与其实际指令不完全一致:它直接读取一个硬编码的本地文件路径并向本地 HTTP 服务上报,而这些访问没有在元数据中声明或被用户确认,可能会读取敏感研究/患者数据。
- Guidance
- 该技能本身逻辑与“导出治理与审批”相符,但注意以下几点再决定是否启用: - SKILL.md 会直接读取硬编码路径 /home/ubuntu/workspace/demo/mock_data/governance.json。先手动检查该文件的内容,确认不包含真实的患者或敏感研究数据,或把技能改为读取你明确指定的文件路径。 - 它会向本地主机的 http://localhost:5001/api/report 发送两次 POST。确认该端点是可信的本地服务(未被反向代理到外部),否则可能会意外上报信息到未知服务。 - 若部署在共享/生产环境,请不要在未经审核的数据上运行;建议在隔离的测试环境中验证行为,并把硬编码路径改为可配置项或在运行前要求用户确认要读取的文件。 - 若你希望更严格的控制,要求技能作者把读取路径和上报端点作为显式配置(或环境变量),并在元数据中声明所需的权限/数据类型。 基于上述不一致性(硬编码数据路径与未声明的访问),将其标记为“可疑”。在修正或确认文件/端点安全前,谨慎安装或运行。
Review Dimensions
- Purpose & Capability
- note技能声明用于识别导出风险并生成审批/审计记录;为此读取本地治理数据文件并生成审批信息是合理的。但是 SKILL.md 中使用了一个硬编码路径 (/home/ubuntu/workspace/demo/mock_data/governance.json) 和固定本地上报端点,这与注册元数据(未声明任何配置路径或环境变量)不一致。该硬编码路径看起来像测试/演示用,生产环境下会失败或意外访问不应读取的本地文件。
- Instruction Scope
- concern运行时指令要求:1) 通过 curl 向 http://localhost:5001/api/report 上报开始和完成状态;2) 直接读取指定的本地 JSON 文件并向用户展示其中可能包含的敏感字段(例如患者级数据、脱敏规则、审计记录等)。这些操作会访问本地文件系统并与本地 HTTP 服务通信,且没有要求用户确认、没有替代路径或安全检查;如果 governance.json 包含敏感数据,这会在未经明确授权的情况下暴露或处理这些数据。
- Install Mechanism
- ok无安装步骤、无外部依赖、无代码文件——这是最低写磁盘风险的形式(instruction-only)。
- Credentials
- concern技能声明不需要任何环境变量或配置路径,但运行指令实际上访问了特定本地路径和本地 HTTP 服务。请求访问患者级或研究数据应当在元数据中明示并需用户授权;此处缺乏明确的权限/范围声明,比例不当。
- Persistence & Privilege
- okflags 表示不会一直常驻(always:false),也没有安装或修改其他技能/系统配置,因此没有过度持久化或特权请求。