Back to skill
Skillv1.0.3
ClawScan security
创客贴智能海报设计 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 13, 2026, 9:51 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能将用户的海报设计需求通过对创客贴公开 API 的 HTTP 请求发送并展示返回的缩略图;所需权限和行为与描述一致,没有发现不相称的环境或安装要求。
- Guidance
- 这个技能会把你输入的设计需求(prompt)发送到 https://gw.chuangkit.com 的公开 API,并在浏览器中打开返回的缩略图或在线编辑链接。它不需要你的账号凭据或本地文件。安装前请注意:不要通过该技能提交任何敏感或机密信息(例如身份证号、财务数据或私人凭证),并在打开返回的外部链接前确认域名与内容符合预期。如果你需要更强的隐私保证,先在不含敏感信息的示例上测试该技能以验证行为。
Review Dimensions
- Purpose & Capability
- ok技能名、描述与运行时指令一致:它通过向创客贴智能设计的 HTTP 接口发送 prompt 并展示返回的 imageUrl 来生成海报缩略图,没有要求与该用途不相关的凭据或二进制。
- Instruction Scope
- okSKILL.md 明确指示使用 GET 请求将用户输入作为 prompt 发送到指定 API,解析 JSON 并在默认浏览器打开返回的缩略图或编辑跳转地址。指令没有要求读取本地文件、环境变量或上传额外数据。注意:打开外部 URL 会把用户的浏览器导向第三方站点(这是预期行为),存在常规的隐私/跟踪风险。
- Install Mechanism
- ok无安装规范(instruction-only),不会把代码写入磁盘或下载可执行文件,风险最低。
- Credentials
- ok不要求任何环境变量、凭据或配置路径;所需权限与其描述的功能相称。
- Persistence & Privilege
- ok没有设置 always:true,也不请求修改其他技能或全局配置。默认的自主调用权限保留但与该技能用途一致,不构成额外特权。