Back to skill
Skillv1.0.0
ClawScan security
Redbook Daihuo · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 13, 2026, 2:51 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声明与实际指令基本一致:这是一个仅基于说明的批量文案与图片生成辅助工具,未请求系统凭据或安装外部代码,内部一致性良好。
- Guidance
- 这个技能本身是说明型、内部一致且不要求凭据,但在安装/使用前请注意:1) 如果你要生成图片,需要决定并信任一个图像生成服务(会要求 API key 或上传图片),切勿把敏感或专有资料随意上传到不受信任的第三方;2) 上传到“产品知识库”的信息应避免包含私人数据或未审核的医疗/功效声明,发布前核查合规和广告法要求;3) 在把自动生成的带货文案用于公开投放前,应人工审核内容的准确性和措辞以防误导或侵权;4) 若实现方要求任何环境变量或凭据,确认这些凭据与功能直接相关并仅授予最小权限。
Review Dimensions
- Purpose & Capability
- ok技能名和描述(为小红书生成宠物带货笔记并生成对应图片)与 SKILL.md 中的输入、变量组合和输出流程一致;所需输入是用户上传的产品知识库和变量,这与功能需求相符。
- Instruction Scope
- noteSKILL.md 明确限定了要用户提供的知识库和变量,且没有指示读取系统文件或环境变量——这符合最小范围。不过文档在“生成图片”部分没有说明用哪个图像生成服务或如何调用(未指定 API、端点或授权流程),也未说明上传的知识库会如何存储或传输,存在实现层面的不明确性和隐私注意点。
- Install Mechanism
- ok无安装规范、无代码文件——这是纯说明型技能,不会在宿主系统写入或执行额外二进制,安装风险低。
- Credentials
- note当前技能不要求环境变量或凭据,这是与用途相称的最低权限设计。但若实际部署需要图片生成(或第三方服务接入),实现时可能会要求 API key 等敏感凭据;用户应在提供此类凭据前确认用途与信任提供方。
- Persistence & Privilege
- ok技能未设置 always:true,未请求修改其他技能或系统配置,也未声明持久化自身凭据,权限与描述一致。