Back to skill
Skillv1.0.0
ClawScan security
诗诗八字命理分析 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 18, 2026, 8:48 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能的代码、说明和所需数据在功能上与其“八字命理分析”用途一致;没有请求不相关凭据或可疑外部网络安装来源,但有少量可注意的操作/隐私细节需核实。
- Guidance
- 总体判断:此技能在目的与实现上是一致的(用于四柱八字排盘与分析),没有要求不相关的凭据或可疑外部安装源。但在安装/运行前请注意: - 隐私:技能会收集姓名、出生日期/时辰、出生地、在世状态和历史事件确认等敏感个人信息。只在愿意并信任技能环境下提供这些信息;避免输入额外不必要的私人细节。 - 依赖与运行环境:脚本依赖第三方 Python 库 lunar_python 并假定存在 .venv/bin/python3,但仓库没有提供创建虚拟环境或安装依赖的说明。若你要运行,请在受控环境中先创建 venv 并用 pip 安装 lunar_python,或询问技能作者提供安装步骤。 - 历史事件核验环节:技能会提出“已发生的关键事件”让用户核对并据此微调分析。这有助于提高分析准确性,但会使用户披露更多过去经历——在提供详情前考虑隐私和敏感性。 - 安全审查建议:若你担心运行未审查代码,可在隔离环境(例如受控虚拟机或容器)中执行 tools/bazi_pan.py,或先人工审阅完整脚本(当前可见部分未发现网络/外发代码)。 如果你希望我帮助:我可以(1)给出在本地安全运行该脚本的具体步骤(创建 venv、安装 lunar_python、示例命令),或(2)审阅 bazi_pan.py 的剩余被截断部分以进一步确认没有隐藏网络或不当行为。
Review Dimensions
- Purpose & Capability
- ok技能名与描述(四柱八字分析)与包含的参考文档、交互流程和 tools/bazi_pan.py 的功能一致。所需资源(无外部凭据、无特殊二进制)与功能匹配。
- Instruction Scope
- noteSKILL.md 指示逐步收集姓名、出生日期、时辰、性别、出生地、在世状态等个人信息——这些都是排盘所必需的,但属于敏感个人信息(PII),用户应知情。分析流程还包括向用户提出“3–5 个已发生的关键事件”以供验证并据此微调模型,这在功能上可理解但具有社会工程/隐私风险(会诱导用户回忆/透露重要历史信息)。指令只读取并使用随包提供的参考文件与本地工具;没有要求读取其它系统配置或凭据。
- Install Mechanism
- note这是一个‘instruction + bundled script’技能(包含 tools/bazi_pan.py)但没有 install spec。脚本依赖第三方库 lunar_python 和 Python 环境,SKILL.md 假定存在 .venv/bin/python3,但并未提供创建虚拟环境或安装依赖的步骤。运行前需要确保宿主环境已安装相应 Python 版本和 lunar_python 包。没有看到从不可信 URL 下载或执行任意远程代码的行为。
- Credentials
- ok技能不请求任何环境变量、凭据或外部服务访问,主要处理本地参考文档和用户提供的出生信息。唯一需要注意的是它会要求收集敏感个人信息(姓名、出生时间、出生地、在世/去世年份、曾用名等),这些数据对该功能是合理且必要的,但用户需权衡隐私。
- Persistence & Privilege
- okregistry flags 表示 always:false,允许用户调用且默认可被模型自主调用(平台默认)。技能没有声明修改其它技能或系统范围配置的行为,也没有安装脚本或持久化特权请求。