Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称、描述和所有示例文件(场景模板、话术、黑话生成器、用户画像)都一致地指向“职场话术建议/共情/话术模板”这一目的;没有要求与该目的不相关的外部凭据或二进制。
Instruction Scope
SKILL.md 和其它文档仅指导收集职场背景(企业性质、职位层级、经济状况)并生成话术,操作范围与目的匹配。但文档多次提到“会自动记录历史”、“画像会自动更新”、以及“对话保密,仅用于个性化建议”,这些是超出单次会话的持久化声明——指令中没有说明如何实现持久化(例如写入哪个路径或调用哪个服务),因此存在模糊/过度承诺的范畴扩张。
Install Mechanism
这是纯文本/说明型技能(无 install 规范、无代码文件可执行、无外部下载),因此没有安装相关风险。
Credentials
技能不请求任何环境变量、凭据或配置路径——这与其描述一致且合乎比例。但技能会收集/建议用户提供敏感的个人信息(如经济状况),文档声明这些信息会被保存在本地并用于个性化,这在没有明确存储位置和访问约束时提高了隐私风险;这种个人资料收集本身对于个性化是合理的,但应明确存储与保护方式。
Persistence & Privilege
文档多处暗示自动记录历史和自动更新用户画像、并宣称“所有信息都保存在本地”,但清单显示无配置路径、无安装或写盘声明、也无代码实现。该不一致会误导用户关于数据持久化与隐私保障(例如:在哪里保存、谁能访问、是否上传到外部服务)。这种模糊的持久化承诺是需要澄清的安全/隐私缺陷。
What to consider before installing
这个技能在功能上看起来是“职场话术/模板”类,文件和示例都一致,但它声称会“本地保存画像/自动记录历史并保密”,而包里没有任何安装步骤、配置路径或代码来实现这类持久化。安装前请考虑:
- 如果你会提供个人信息(企业性质、职位、经济状况等),先问清楚这些数据会存在哪里、谁能访问、保存多久,以及是否会发送到外部服务。文档里说“保存在本地”,但没有说明具体位置或存储机制,这是不充分的隐私保证。
- 如果你担心隐私,不要在首次会话里提供高度敏感的细节(如负债、家庭财务状况);可以只提供最低限度的上下文或使用模糊描述。
- 如果你需要真正的持久化(跨会话画像/偏好记忆),要求技能作者或发布者明确说明存储位置(本地文件路径或平台托管)和访问控制;否则把该技能当成仅一次会话使用。
- 该技能会生成不同力度的话术(包括高风险的“进阶/摊牌”模板),使用时注意职业后果,尤其当对象是你的上司或关键决策人时。
如发布者能提供明确的存储实现细节(配置路径、仅本地写入的证据,或明确声明不持久化),并更新文档以消除误导,我会把风险评估改为“benign”。Like a lobster shell, security has layers — review code before you run it.
latestvk97bq26z4fdwy3tkf45ja53cvx84vqpy
License
MIT-0
Free to use, modify, and redistribute. No attribution required.