Back to skill
Skillv1.0.2
ClawScan security
发布抖音文章_无限 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 19, 2026, 11:57 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 说明文档、所需权限和行为在逻辑上保持一致:这是一个基于 OpenClaw 托管浏览器的自动化发文说明,不要求敏感凭据或额外安装,但会在浏览器会话中执行点击/输入操作,建议在受控账号/环境中测试后再用真账号。
- Guidance
- 这是一个纯说明型(instruction-only)技能,逻辑自洽且不要求任何密钥或安装外部软件。但请注意: - 技能会通过 OpenClaw 托管的浏览器控制页面并执行点击/输入操作,效果取决于该浏览器会话是否已登录你的抖音账号。不要在包含敏感数据或重要权限的主账号上首次运行;先用测试账号验证流程。 - 技能说明要求使用 profile="openclaw";切勿切换到用户个人 profile,除非你理解风险并明确允许。 - 技能会尝试自动处理弹窗和确认框,意味着代理可能在无需你实时确认的情况下修改页面状态;如果你希望每一步都确认,请在使用前明确指示代理。 - 虽然当前没有明显的不成比例权限请求或不寻常的安装行为,仍建议在受控环境(测试账号)下运行并监控第一次执行的快照/操作记录,确认其行为符合预期。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述(在抖音创作者平台通过 OpenClaw 浏览器发布图文文章)与 SKILL.md 中的运行指令一致。它只依赖浏览器控制命令(start、navigate、snapshot、type、click 等),没有请求与功能无关的凭据、二进制或配置路径。
- Instruction Scope
- okSKILL.md 明确列出每一步需要执行的浏览器操作、元素定位方法和禁止项(例如不使用 profile="user"、不硬编码 ref、先 snapshot 等),范围限定于网页交互与保存草稿。唯一需要注意的自动化行为是“遇弹窗优先尝试自行关闭/确认、不凡事都问用户”,这赋予代理在页面上做决定的自主性,但在自动化发文场景内是合理的。
- Install Mechanism
- ok无安装规范、无代码文件——这是纯说明型技能,不会在磁盘上下载或执行外部包,安装风险最低。
- Credentials
- ok没有声明或请求任何环境变量、凭据或配置路径。技能的操作依赖于托管的 OpenClaw 浏览器会话——如果该浏览器已登录到用户的抖音账号,技能能在该会话中操作,这是预期行为且与目的相符。
- Persistence & Privilege
- okflags 显示 always:false(正常),技能为用户可调用并允许模型调用(平台默认)。这意味着技能可以被代理按触发场景执行,但没有要求被强制常驻或修改其它技能/系统配置。