Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名/描述是查询城市天气;SKILL.md 要求提取城市和时间并使用 web_fetch 抓取网页来收集天气数据,返回温度、天气、湿度、风力等信息。没有要求与天气功能无关的环境变量、二进制或配置,功能与宣称目的相符。
Instruction Scope
指令明确要求用 web_fetch 抓取网页并整理数据,这与获取天气信息一致。但未限定要访问哪些网站或可信来源,意味着实现可能会访问任意公共网页并基于抓取结果生成响应;抓取来源不可靠或包含错误时会影响输出准确性。
Install Mechanism
这是一个纯文档(instruction-only)技能,没有 install spec 或代码文件;因此不会在系统上写入或执行下载的第三方代码,安装风险低。
Credentials
不要求任何环境变量、凭证或外部配置;所需权限与其描述的功能相称。
Persistence & Privilege
技能未设置 always:true,也不请求修改其他技能或系统范围配置。允许模型自主调用是平台默认行为,与本技能没有不相称的长期权限要求。
Assessment
这个技能本身看起来是正常的:它会根据你提供的城市和时间去抓取公共网页并整理天气信息,不需要任何 API key 或本地安装。但在安装前你应该考虑:
- 抓取的具体网站未指定,技能可能访问任意公共页面,返回内容可能不稳定或包含错误;
- 查询会把你提供的城市/时间作为请求的一部分发送到外部网站,若你包含敏感信息(精确地址、个人标识等)可能产生隐私泄露;
- 如果你需要可审计、准确的数据或可证明来源,优先选择调用受信任的天气 API(有明确域名和 API key)而不是通用网页抓取;
- 若关心日志或网络访问,确认平台的网络/抓取策略和日志保存政策,或要求技能限定抓取域名列表。Like a lobster shell, security has layers — review code before you run it.
latestvk97041dtd43ncn7w95y5je6cen821hj1
License
MIT-0
Free to use, modify, and redistribute. No attribution required.