Back to skill
Skillv1.0.0
ClawScan security
代码片段管理器 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 8, 2026, 4:03 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个技能只是一个说明性的“代码片段管理”说明文档,声明会在本地使用 snippets.json 和 tags.json 存储片段,没有请求任何外部凭据或安装步骤,整体与其描述一致。
- Guidance
- 这个技能是一个纯说明性的“代码片段管理”文档,没有安装步骤或外部凭据要求。安装前请确认: - 代理会把 snippets.json 和 tags.json 放在哪个目录(确保不是包含敏感数据的目录); - 是否需要对这些本地文件做加密或访问控制,以免代码片段包含敏感信息被本地其他进程读取; - 如果你关心隐私,确认代理在运行时不会把片段自动发送到外部服务(SKILL.md 中没有列出任何外部端点,但实际行为取决于代理实现)。 总体而言,文档与其宣称的功能一致,风险较低。
Review Dimensions
- Purpose & Capability
- ok技能名称、描述和列出的功能(收藏、搜索、高亮、复制)与 SKILL.md 中的内容一致。没有声明需要访问云服务或额外凭据,所需项目与目的相称。
- Instruction Scope
- noteSKILL.md 是说明性文档而非可执行指令;它提到将使用 snippets.json 和 tags.json 存储数据,但没有说明这些文件的确切路径或权限。虽然这在功能上合理,但建议确认代理会将这些文件放在哪个目录并如何保护它们。
- Install Mechanism
- ok这是纯文本说明(无安装规范、无代码文件、也无下载或执行步骤),因此没有安装相关风险。
- Credentials
- ok技能未请求任何环境变量、凭据或外部配置,所声明的数据存储(本地 JSON 文件)与其功能相符,没有不成比例的访问要求。
- Persistence & Privilege
- ok技能未设置 always:true,也不会修改其他技能或系统配置;默认的自主调用能力是平台默认行为,本技能并未增加额外权限。