Back to skill
Skillv0.1.0
ClawScan security
Daily Market Analysis · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 10, 2026, 5:00 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 总体上这个技能说明和运行指令一致,但它声明依赖 curl(且没有在运行说明中使用),这是不必要或不一致的授权请求,应在安装前澄清。
- Guidance
- 该技能总体上与其描述一致并且没有请求凭据或文件访问,但在元数据中声明了 curl 为必需二进制而 SKILL.md 并未使用它。建议在安装前确认两点: 1) 为什么需要 curl(是平台在后台用到还是发布者的失误)——如果没有合理解释,应移除该要求; 2) 确认平台提供的 web_search 不会把敏感上下文或聊天历史意外发送到第三方外部站点(审视隐私/数据流政策)。 另外,技能要求“不要编造数字”是好的,但你应注意任何自动生成的投资建议都不是专业投资意见,谨慎对待并在需要时寻求专业顾问。
Review Dimensions
- Purpose & Capability
- concern技能目标是生成每日市场分析,运行说明只引用平台的 web_search 工具并按格式输出报告,但 registry metadata 列出 curl 为必须二进制。这与说明不符:SKILL.md 中没有任何需要直接调用 curl 的步骤,要求 curl 看起来不必要或未记录的实现细节。
- Instruction Scope
- okSKILL.md 明确限制行为:使用 web_search 并只抓取与市场相关的内容、筛选要点、在规定的 Markdown 模板内输出、不编造数据、在末尾加免责声明。没有要求读取系统文件、环境变量或将数据发送到除常规搜索来源以外的外部端点。
- Install Mechanism
- ok这是 instruction-only 技能(没有安装规范或代码文件),因此不会向磁盘写入或下载任意二进制,安装风险低。
- Credentials
- ok技能不请求任何环境变量、凭据或配置路径,所需权限与其描述的功能相称。
- Persistence & Privilege
- ok技能不是 always:true,允许用户调用且可被模型自治调用(平台默认)。技能也没有请求修改其它技能或系统级配置,这与其用途相符。