Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
返利全能助手
v0.1.0返利全流程助手,从选品比价、领券下单到返利追踪、提现指导,覆盖返利购物完整链路。
⭐ 0· 41·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能宣称“基于用户偏好和购物历史”“自动追踪返利状态”“跨平台比价”“提现指导”——这些功能通常需要访问购物/返利平台账户、历史订单数据、或第三方比价/联盟API。但注册元数据与 requires.env/required config 都为空,未声明任何需要的凭据或集成,这与功能需求不一致。
Instruction Scope
SKILL.md 在高层描述应做什么(例如使用购物历史、自动追踪订单、比价与领券),但没有具体说明运行时会如何获取这些数据、是否会请求用户提供凭据、或调用哪些外部服务。文档暗含读取/传输用户敏感数据的需求(订单、账户、提现信息),但未限制或说明数据流向与存储。
Install Mechanism
这是纯说明文档(instruction-only),没有安装脚本、二进制或下载步骤,因此没有写盘或执行远程代码的直接风险。
Credentials
技能声明需要并会使用用户购物历史、返利记录与提现账户等敏感信息,但没有声明任何所需环境变量或授权机制(OAuth、API key 等)。缺乏对凭据需求与最小权限原则的说明,存在过度或未说明的数据访问风险。
Persistence & Privilege
技能没有设置 always: true(好),但默认允许模型自主调用。虽单独不是问题,但自主 invocation 加上上面关于未说明凭据与数据访问的疑问,会扩大风险范围:若技能被允许自动运行,它可能在不充分告知的情况下请求或处理敏感数据。
What to consider before installing
在安装或启用前请确认:
- 该技能如何获得订单/返利数据?是否会要求输入账号密码、API token 或让你导出并粘贴敏感数据?拒绝提供明文账户密码;优先选择 OAuth/最小权限授权。
- 它会调用哪些第三方服务(比价来源、返利平台、联盟)?是否有明确域名/主页与隐私政策?当前没有主页或来源信息,这降低信任度。
- 数据如何存储与传输?是否会将订单、提现信息或个人识别信息发送到外部服务器?要求技能作者说明数据流向与保留期。
- 要求对“自动追踪”与“提现指导”的实现细节(是否仅给出操作指导,还是会代为操作/提交请求)。如果技能需要长期访问或自动执行敏感操作,风险更高。
建议:若必须试用,只在受控环境用示例/测试账号进行,且不要提供真实支付或平台主账号。要求开发者补充集成说明、必要的最小权限列表与隐私声明;在缺乏这些信息前将其视为高风险并谨慎授予权限。Like a lobster shell, security has layers — review code before you run it.
latestvk97cz3w08kjas7xcsrx8rcmp8n83p4b7
License
MIT-0
Free to use, modify, and redistribute. No attribution required.