ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

个人数字安全体检

v1.1.1

个人数字安全体检工具。一键检查邮箱泄露、密码强度、隐私暴露、安全评分。 面向普通用户,不是开发者。中文优先。 当用户提到"安全检查""安全体检""密码泄露""邮箱泄露""隐私""安全评分"时触发。

0· 69·0 current·0 all-time
by@freedompixels
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
Requires sensitive credentials
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名、描述、SKILL.md 与包含的脚本功能(邮箱泄露检查、k-匿名密码检查、本地密码强度计算、生成报告)在功能上匹配;网络调用的目标仅为 Have I Been Pwned 及 pwnedpasswords,符合声明目的。唯一小冲突是 SKILL.md/README 声称 HIBP v3 免费且无需 key,但脚本在请求头中包含名为 'hibp-api-key' 的空字符串——这可能导致 API 行为不如文档所述(HIBP v3 的 /breachedaccount 端点通常需要 API key)。
!
Instruction Scope
SKILL.md 指示运行 scripts/security_check.py 并声明“密码永远不离开本地”(脚本确实对密码使用 SHA1 前5位 k-匿名查询),但脚本在网络调用失败时会回退到一个不验证证书的 SSL 上下文(_get_fallback_ssl_context),这未在文档中说明。降级为不验证证书会增加中间人攻击与响应篡改风险;SKILL.md 没有提示用户这一行为,也没有要求用户确认或显示证书错误。
Install Mechanism
无安装规格(instruction-only),只有一个 Python 脚本和文档,未从不明 URL 下载或在安装阶段写入磁盘之外的内容,安装机制风险低。
Credentials
技能不要求环境变量或凭据(良好)。注意脚本在请求头中包含空的 'hibp-api-key',并假定可在无 key 模式下访问某些 HIBP 端点——这可能导致 API 返回错误/速率限制。另外,生成报告的行为在 SKILL.md 中声明“可删除”,但脚本片段被截断,无法完全确认是否会将报告持久化到磁盘;建议用户确认脚本在何处写入文件。
Persistence & Privilege
没有请求常驻(always:false),也不修改其他技能或系统配置。默认的自主调用未与其他高危因素结合,因此此维度无异常。
What to consider before installing
技能总体上看起来是为个人安全检测设计的且功能一致,但在把真实邮箱或密码交给脚本之前请注意: - 不要在不受信任的网络上直接运行脚本并输入真实密码,脚本在遇到 SSL 问题时会自动降级到“跳过证书验证”的模式,这会使网络流量易受中间人攻击。建议在使用前打开脚本,删除或改为显式提示用户在降级时确认,而不是自动回退。 - 密码核查采用 k-匿名(只发送 SHA1 前5位),这符合常见做法,但始终优先在本地使用强度分析(analyze_password_strength)并尽量避免输入真实账户密码——可先用代表性的测试密码确认结果。 - 邮箱泄露检查的 HIBP /breachedaccount 端点通常需要 API key;脚本把 'hibp-api-key' 留空,可能会遇到 401/429。若你担心可向脚本添加配置以使用自己的 HIBP API key 或捕获和处理相应错误。 - 检查脚本是否将报告写入磁盘(README 提到“可删除”),确认保存位置并确保不会长期保留敏感摘要或日志。 如果你不熟悉 Python,建议请信任的技术人员帮忙审阅并(1)移除/改为交互式的 SSL 降级行为,(2) 验证或配置 HIBP API key 处理,(3) 确认报告持久化策略,之后再输入真实敏感信息。

Like a lobster shell, security has layers — review code before you run it.

breachvk9780cxcme3vf7wsykptnh01z184pgsrchinesevk9780cxcme3vf7wsykptnh01z184pgsrlatestvk979p60ct116wq1wsp60bhhxb184y5zvpasswordvk9780cxcme3vf7wsykptnh01z184pgsrprivacyvk9780cxcme3vf7wsykptnh01z184pgsrsecurityvk9780cxcme3vf7wsykptnh01z184pgsr

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Runtime requirements

🔒 Clawdis

Comments