ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Product Image Archiver

v1.0.1

定款商品原图无损下载&规范归档 - 人工触发单款操作,100% 保留原图,侵权风险标注,完整性校验

0· 63·1 current·1 all-time
by@guowaa223
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
名字、描述和包含的 Python 模块(下载器、来源适配器、完整性与风险检测、报表生成)在功能上是一致的:下载单个商品的原图并按模板归档。所需二进制(python3)和列出的 Python 依赖与任务匹配。没有请求与功能无关的云密钥或平台凭证。
Instruction Scope
SKILL.md/README 指示以人工方式提供款号和链接并运行脚本,代码按此工作并对用户提供的 URL 发起网络请求并保存文件——这是符合目的的。但代码/说明访问了若干环境变量(下载超时、重试、BAIDU_AI_APP_ID 等),且 README 提到 .env 用于可选的百度AI检测,这些 env 并未在技能元数据的 requires.env 中声明(不强制,但应明确)。另外 archiver.py 主函数中存在明显语法错误(使用全角逗号 args.款号,args.链接)——会导致脚本无法运行;完整性检测中对 PIL.Image 的使用也存在逻辑问题(在 with 块外使用 img 变量),会造成异常或不可靠结果。
Install Mechanism
没有远程下载或可执行安装脚本,代码以文件形式包含,提供 requirements.txt 并由 README 指导用 pip 安装依赖。相对于功能,这个安装方式是合理且低风险的。
Credentials
技能声明“无需环境变量”,但代码会读取多项可选环境变量 (DOWNLOAD_TIMEOUT, DOWNLOAD_RETRY_TIMES, BAIDU_AI_APP_ID 等)。百度 AI 相关凭据是可选且仅在配置后才启用,但元数据未列出这些可选凭据。风险提示:如果你填入百度 AI 凭据,代码会(按注释)尝试调用外部 AI 服务;目前百度检测方法为 TODO(占位),实际行为取决于后续实现。
Persistence & Privilege
技能没有 always:true,默认允许用户或模型调用(平台默认)。技能不会修改其它技能配置或系统范围设置;它会在本地创建 archives/ 和 logs/ 等目录并写入文件,这是归档工具的预期行为.
What to consider before installing
简明建议: - 功能与要求总体一致:它会根据你提供的商品链接请求外部站点(wsy.com 或 1688.com)并下载图片到本地/archives。仅在你显式提供链接时才会运行下载。 - 注意未声明但存在的可选 env:代码会读取诸如 BAIDU_AI_APP_ID 等环境变量以启用百度 AI 检测;如果你填写这些凭据,技能可能会向百度服务发送图片数据(README 提及 .env.example)。在提供任何 API 密钥前请确认你信任该代码并理解数据将发送到第三方。 - 存在运行时错误:archiver.py 中命令行调用处使用全角逗号(args.款号,args.链接),会立即导致脚本语法错误;完整性检测对 PIL 的用法也有逻辑问题。不要在生产系统上直接运行,先在隔离的测试环境中修复这些问题或请求维护者更新。 - 权限与网络:该技能会在本地写入归档和日志文件并发出 HTTP 请求到你指定的站点;这与其功能一致,但请仅对可信 URL 使用。若不希望技能自动调用第三方服务(如百度 AI),不要在 .env 中设置相应密钥。 - 建议操作:在沙箱/测试机器上(最好离线或网络受限)运行并验证修复后的脚本;确认/移除任何你不希望发送到远端的凭据;如果你不愿意运行第三方 AI 检测,保持相关 env 未设置。

Like a lobster shell, security has layers — review code before you run it.

latestvk97fjxwd3dv6raycj4xgax7bxs83x1c1

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Runtime requirements

📁 Clawdis
OSWindows
Binspython3

Comments