ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Rumour Buster

v0.3.0

谣言终结者。双引擎验证消息真假:中文搜索(kimi_search + multi-search-engine)+ 英文搜索(Tavily + multi-search-engine),交叉验证,溯源消息来源。首次使用自动运行 setup 配置。

0· 59·0 current·0 all-time
by@harry720320
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名与描述(中文+英文多引擎交叉验证)与包含的脚本和 setup 流程一致:有中文/英文搜索逻辑、setup 子技能用于检测并写入 ~/.rumour-buster-config、以及一个用于调用 Tavily 的脚本。总体能力与目的对齐,但 Tavily 集成会向外部 API 发送用户查询,这是功能上预期的。
Instruction Scope
SKILL.md 明确指示会自动运行 setup(首次使用)并生成 ~/.rumour-buster-config;setup.py 会与用户交互请求/接收 Tavily API Key 并把配置写入家目录。说明没有要求读取系统上与功能无关的文件或凭据,但自动运行 setup 和写配置是需要用户知晓的行为。
Install Mechanism
这是一个 instruction-first 技能(无安装规范),源码仅包含两个 Python 脚本和文档,没有远程下载或可执行安装步骤,风险较低。
!
Credentials
元数据不声明任何必需环境变量,但 scripts/tavily_search.py 使用 os.getenv('TAVILY_API_KEY') 并包含一个硬编码的默认 API key (tvly-dev-...):如果用户未提供自己的 key,查询将使用这个嵌入 key 发往 api.tavily.com,带来隐私与凭据滥用风险。技能还引用(检测)~/.openclaw/workspace/skills 路径以判断依赖,写入 ~/.rumour-buster-config。总体请求的凭据与技能目的相关,但硬编码 key 与未声明的外部数据流是不成比例的风险点。
Persistence & Privilege
技能不会声明 always:true,也不会修改其他技能的配置;唯一的持久化是写入其自己的配置文件 (~/.rumour-buster-config),这是与其功能一致的常见行为。
What to consider before installing
要点与建议: - 该技能会在首次运行时自动进入交互式 setup 并在 ~(家目录)写入 ~/.rumour-buster-config,确认你愿意在本机保存该配置文件。 - scripts/tavily_search.py 包含一个硬编码的 Tavily 开发 API key;如果你不提供自己的 key,查询将使用该内置 key 并把查询发送到 https://api.tavily.com,这可能导致隐私泄露或把你的查询记录到第三方。建议在环境中设置你自己的 TAVILY_API_KEY 或从代码中移除/替换默认键。 - 如果你担心数据外泄或凭据滥用:在安装前审阅 sub-skills/setup/setup.py 和 scripts/tavily_search.py,或在隔离环境里运行;也可以删除/覆盖硬编码默认 key 并只使用你自己的 key。 - 该技能要求已安装 api-multi-search-engine(通过路径检测),会建议用 clawhub 安装,这是与功能相符的依赖。 - 结论:功能上合理且与描述一致,但嵌入的默认 API key 和自动写配置的实现增加了隐私/凭据风险,安装前请评估并采取上面的缓解措施。

Like a lobster shell, security has layers — review code before you run it.

fact-checkvk97096yyzv13430pxk7p0h1dd98440aelatestvk97096yyzv13430pxk7p0h1dd98440aerumorvk97096yyzv13430pxk7p0h1dd98440aeverificationvk97096yyzv13430pxk7p0h1dd98440ae

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments