ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Generate Alias

v2.1.1

根据企业名称智能提取核心品牌词和常用简称,生成多种别名并用|分隔,方便数据匹配和导入。

0· 126·1 current·1 all-time
by@hyqdq888
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名称与描述与代码实现大体一致:包含品牌映射、规则引擎、可选的维基百科/Wikidata 查询与网络搜索模块,功能与“生成别名”目的相符。但存在小的不一致——manifest/requirements 声明没有列出任何外部二进制或依赖,而代码(search_aliases.py)使用 subprocess 调用 curl,data_sources.py 和 generate_alias.py 使用 requests 发起 HTTP 请求。未声明的 curl 依赖是说明/实现上的不匹配,应予以说明或移除。
!
Instruction Scope
SKILL.md 明确区分离线(默认)与在线模式,并说明可启用维基百科查询。但代码中 search_aliases.py(网页抓取器)并没有被 generate_alias.py 的主入口自动整合(generate_aliases 的 use_web 参数被注释为“暂未实现”),导致文档宣称的“在线模式(准确)”在主流程中并非完全实现。此外,search_aliases.py 会访问百度百科、企查查、百度搜索等第三方站点并使用 curl 抓取页面;data_sources.py 会请求 Wikidata/Wikipedia。这些网络访问在 SKILL.md 中未充分标注为会发出外部请求/可能触发频繁访问,存在隐私/合规与可审计性考量。
Install Mechanism
无安装规范(instruction-only + 内置代码文件),未从第三方 URL 下载或执行外部安装脚本,因此不会在安装时自动拉取任意二进制或执行远程代码。代码将被本地运行,风险主要来自运行时的网络调用和 subprocess 调用,而非安装机制本身。
Credentials
技能声明不需要任何环境变量或凭据,代码也没有读取敏感环境变量。唯一与外部交互相关的是对公开网站的 HTTP 请求(requests 或 curl),这些请求不需要用户凭据。没有发现请求将程序内部数据发送到未预期的第三方终端点。
Persistence & Privilege
技能没有设置 always:true,也不请求改变其他技能或系统配置。它是用户可调用的脚本集合,默认不会长期驻留或提升权限。
What to consider before installing
简明建议: 1) 如果你只需要本地/离线别名生成功能:保留默认配置(USE_WIKI=False),不要运行 search_aliases.py;这将避免任何外部网络抓取。2) 如果打算启用在线功能或维基百科查询:先确认环境允许外出网络访问,并注意这些模块会向百度百科、企查查、Wikidata/Wikipedia 等网站发起请求(可能触发爬虫限流或隐私/合规问题)。3) 注意未声明依赖:search_aliases.py 使用 subprocess 调用 curl,但技能元数据没有列出 curl 为必需二进制——在部署前确保系统安装了 curl 或将该调用改为纯 Python 的 requests 实现。4) 审查网络调用频率与 User-Agent,考虑加速率限制与错误处理,避免在自动化/批量运行时对外站点造成大量请求。5) 若在受监管或敏感环境运行(包含内部名称、未公开公司数据或需要合规审计的场景),请在隔离环境中审查并限制网络出口,或对代码做本地化改造(移除/模拟网络抓取)。 总体评价:该技能功能与文档大致一致,但实现与声明之间存在可修正的不一致与在线运行时需注意的网络/依赖风险,建议在将在线能力打开或在生产环境部署前手动审查并调整。

Like a lobster shell, security has layers — review code before you run it.

latestvk9739j5mh9faj4ydtkasq7tz7h83j45b

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments