Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
ZLQA-GMT-API-Test
v1.0.0支持ZLQA游戏GM工具接口自动化测试,包括用例管理、执行和测试报告查看,需初始化项目路径绑定接口。
⭐ 0· 46·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名和描述与实际行为基本一致:扫描项目的 api/gmt 子目录、发现含 run_tests.py 的接口目录、运行这些测试脚本并生成/打开报告。需要修改和执行项目内的 run_tests.py 来控制要执行的用例,这与“执行测试”的目的可以解释得通,但修改源码(通过 set_execute_cases 写回 run_tests.py)是一个侵入性实现,用户可能未预期。
Instruction Scope
runner.py 会:读取/写入 skill 的 skill_config.json(在技能目录),扫描并读取用户指定的项目路径下的文件,使用正则替换直接修改项目中的 run_tests.py(写回 EXECUTE_CASES),然后以该目录为 cwd 通过 subprocess.run 执行项目的 run_tests.py,最后通过 os.startfile() 打开生成的 HTML 报告。执行来自用户仓库的任意 Python 脚本存在潜在风险(仓库脚本可能包含网络调用、凭证使用或任意命令),且脚本被直接修改会改变原始代码行为。SKILL.md 没有明确提醒会修改 run_tests.py,这可能导致意外后果。
Install Mechanism
无安装规范(instruction-only + 附带脚本),不从外部 URL 下载或安装第三方二进制,代码都包含在技能包内;这降低了供给链风险。
Credentials
技能本身不要求任何环境变量或凭证。SKILL.md 指导用户在接口目录下填写 {接口名}_config.md(比如服务器地址、appsecret、测试账号等),这些是测试所需但会存放在项目文件中。注意:虽然技能不显式请求凭证,但执行 run_tests.py 会以本地权限使用这些配置并可能向外部服务发起请求——用户应谨慎放置敏感凭证。
Persistence & Privilege
技能不会设置 always:true,也不会修改其他技能或系统范围配置。它会在技能目录写入 skill_config.json 来保存绑定的 project_root 和接口映射(持久化本技能的配置),这是合理的。不过写入本地配置和修改项目文件仍是一个长期存在的影响点,用户应知悉。
What to consider before installing
建议在安装/首次使用前采取以下措施:
- 只在你信任的本地/内部项目仓库上运行此技能;不要在包含敏感凭证或生产数据的目录直接初始化。
- 在项目上运行前先备份或使用版本控制(git commit)保存当前代码,因为技能会直接修改 run_tests.py 的 EXECUTE_CASES 行。
- 手动审查你将让技能执行的 run_tests.py(以及其它接口目录下的脚本),确认这些脚本不会做出意外的网络请求或执行危险操作。
- 如果可能,在隔离环境或容器中先运行(防止不受信任的脚本访问本地文件/网络)。
- 注意 SKILL.md 要求在 {接口名}_config.md 中填写 appsecret/账号等敏感信息:仅在可信网络和受控环境下填写,并考虑使用临时/测试凭证而不是生产密钥。
- 如果你希望避免技能修改文件,联系技能作者请求改为通过命令行参数或环境变量传递要执行的用例,而不是直接替换脚本内容。Like a lobster shell, security has layers — review code before you run it.
latestvk97crz9zv3j8barm1wpp6jjb1x83pfqk
License
MIT-0
Free to use, modify, and redistribute. No attribution required.