Back to skill
Skillv1.0.0
ClawScan security
天气查询小技能 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignFeb 28, 2026, 12:39 PM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声明、所需权限和运行指令在用途上自洽:它通过抓取网页收集并整理城市天气信息,不需要额外凭据或安装软件。
- Guidance
- 这个技能本身看起来是正常的:它会根据你提供的城市和时间去抓取公共网页并整理天气信息,不需要任何 API key 或本地安装。但在安装前你应该考虑: - 抓取的具体网站未指定,技能可能访问任意公共页面,返回内容可能不稳定或包含错误; - 查询会把你提供的城市/时间作为请求的一部分发送到外部网站,若你包含敏感信息(精确地址、个人标识等)可能产生隐私泄露; - 如果你需要可审计、准确的数据或可证明来源,优先选择调用受信任的天气 API(有明确域名和 API key)而不是通用网页抓取; - 若关心日志或网络访问,确认平台的网络/抓取策略和日志保存政策,或要求技能限定抓取域名列表。
Review Dimensions
- Purpose & Capability
- ok技能名/描述是查询城市天气;SKILL.md 要求提取城市和时间并使用 web_fetch 抓取网页来收集天气数据,返回温度、天气、湿度、风力等信息。没有要求与天气功能无关的环境变量、二进制或配置,功能与宣称目的相符。
- Instruction Scope
- note指令明确要求用 web_fetch 抓取网页并整理数据,这与获取天气信息一致。但未限定要访问哪些网站或可信来源,意味着实现可能会访问任意公共网页并基于抓取结果生成响应;抓取来源不可靠或包含错误时会影响输出准确性。
- Install Mechanism
- ok这是一个纯文档(instruction-only)技能,没有 install spec 或代码文件;因此不会在系统上写入或执行下载的第三方代码,安装风险低。
- Credentials
- ok不要求任何环境变量、凭证或外部配置;所需权限与其描述的功能相称。
- Persistence & Privilege
- ok技能未设置 always:true,也不请求修改其他技能或系统范围配置。允许模型自主调用是平台默认行为,与本技能没有不相称的长期权限要求。