Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
技能描述为聚合并返回各平台优惠,代码确实向一个第三方聚合 API 发起 POST 请求并解析返回数据——功能与声明一致。值得注意的是 API URL 与两个凭据(a1, a2)被以 base64 片段混淆嵌入脚本中,这不是必要的功能差异但也可解释为防止明文显示密钥。
Instruction Scope
SKILL.md 仅描述查询/筛选优惠的使用方式;脚本实现遵循这一范围(获取、过滤、缓存数据并打印结果)。额外行为包括:将聚合数据缓存到 /tmp/coupon_data_cache,以及在需要时提示并尝试通过本地 clawhub CLI 执行“clawhub update”进行升级。兜底示例包含可复制的链接/文案(可能为推广/跳转链接),提示用户复制到 App 打开——这带来一定的隐私/安全注意事项(不要把敏感个人信息当查询语句发送)。
Install Mechanism
没有 install spec;只有一个 Python 脚本随技能分发(无远程下载或执行在安装时发生),这降低了安装期风险。
Credentials
技能不请求任何环境变量或用户凭据,所有对外请求使用脚本中嵌入的 a1/a2/URL(非用户凭据)。这是比例合理的,但内置且被混淆的 API key 应被注意:密钥泄露或滥用风险取决于该第三方服务的性质。
Persistence & Privilege
技能未设置 always:true,也不会修改系统范围配置。它仅写入 /tmp 缓存文件并在显式触发升级时调用本地 clawhub 命令(若存在)。没有发现跨技能或系统级的持久高权限请求。
Assessment
在决定安装或启用前请考虑:
- 此脚本会把你的查询发送到外部域 open.datadex.com.cn(使用脚本内嵌的 API ID/KEY),因此不要用它查询任何敏感或个人身份信息(如完整地址、身份证号、银行卡等)。
- 脚本把聚合数据缓存在 /tmp/coupon_data_cache(短期缓存),请确认这对你的环境是否可接受。
- 脚本内用 base64 混淆了 API URL 与密钥——虽然与功能一致,但也增加了审计难度;如果你需要更高透明度,要求技能作者提供明文说明或移除/替换硬编码凭据。
- 升级流程会尝试运行本地 clawhub CLI(若存在,将执行外部更新命令);如果你不信任自动升级,避免安装 clawhub 或在运行前检查脚本源码。
- 兜底示例中含可复制到 App 的跳转/推广链接,谨慎对待并避免直接粘贴到陌生/不受信任的应用中。
- 提示:如果可行,获取该技能的完整未截断源码并核查网络请求、日志/错误处理和升级逻辑;若怀疑,请在隔离环境中运行或要求作者提供更透明的实现/合规说明。Like a lobster shell, security has layers — review code before you run it.
latestvk9721dqps1ryw21w67b782ffah838tgd
License
MIT-0
Free to use, modify, and redistribute. No attribution required.