Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
省钱快报返利助手
v0.1.0省钱快报优惠信息聚合与CPS返利工具,实时推送高性价比商品和大额优惠券,覆盖淘宝京东拼多多等全平台。
⭐ 0· 39·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称与描述一致地表明这是一个电商优惠与返利聚合工具;技能没有请求与该目的明显不相关的凭据或二进制依赖,这一点是合理的。但描述的“实时推送”“大额隐藏优惠券”“历史低价”这些功能通常需要外部数据源或平台 API 支持,技能并未说明如何获取这些数据。
Instruction Scope
SKILL.md 仅为高层功能说明和输出模板,缺乏任何具体运行指令、数据源、API、或抓取策略。这种开放式、模糊的指示赋予代理很大自主权去决定如何获取数据(例如网页抓取、第三方服务调用、请求用户凭据等),增加了超出预期数据收集或访问敏感信息的风险。
Install Mechanism
无安装规范、无代码文件、仅为说明文档——这降低了写磁盘或执行远程二进制代码的风险。
Credentials
技能没有声明任何环境变量或凭据,这看起来比许多电商聚合工具更节制;但同时也没有说明如何实现功能(若需要淘宝/京东/拼多多的 API 或联盟凭证,SKILL.md 没有列出这些需求),这一矛盾值得注意。
Persistence & Privilege
技能未设置 always:true,且默认允许模型调用(平台默认)。没有请求修改其他技能或系统级配置的说明,权限请求看起来与自身范围一致。
What to consider before installing
该技能在描述上与优惠聚合用途一致,但运行说明非常模糊:在实际使用中,代理可能会自行决定如何抓取或调用数据源、向用户提出要登录凭据或使用第三方服务。建议在安装前:
- 询问技能作者或说明来源,明确它将使用哪些数据源和是否需要您的电商/联盟凭据;
- 在受控环境中测试,观察代理是否要求提供敏感凭证或开始大规模网络抓取;
- 如果担心自动化行为,可禁用技能的自动调用或只在需要时手动调用;
- 优先使用明确列出 API/授权流程且来自可信源的聚合工具,避免将登录凭据直接贴入聊天窗。Like a lobster shell, security has layers — review code before you run it.
latestvk97783s24cmmdc8h4n9tsq060h83ty7s
License
MIT-0
Free to use, modify, and redistribute. No attribution required.