Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
MeshLink 服务发布
v0.1.0通过 meshlink CLI 一键将本地服务安全发布到集团内网,支持端口检测和服务名管理,需用户确认后执行。
⭐ 0· 250·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
SKILL.md 的功能描述(使用 meshlink CLI 发布本地服务、端口检测、服务名管理、等待用户确认)与技能名称和描述一致;这些操作合理地需要 meshlink CLI。但注册元数据(requirements 列表)未声明 meshlink 作为必需项,元数据与文档不一致。
Instruction Scope
运行时指令仅调用 meshlink CLI(agent-status、check-port、publish、list、unpublish)并与用户交互以获取端口和确认;没有要求读取系统范围内的文件或发送数据到未说明的远端服务。文档明确禁止在未经用户确认前执行 publish。
Install Mechanism
这是一个 instruction-only 技能,没有 install spec,也没有把任意远端二进制/归档写入磁盘。SKILL.md 建议通过 npm 全局安装 meshlink-cli(npm i -g 或 npm link),但安装步骤未自动执行。总体上安装风险较低,但要核实 meshlink-cli 的来源与可信度。
Credentials
SKILL.md 要求用户预先设置 ZTM_MESH_NAME 环境变量,但技能的注册元数据声称“Required env vars: none”。虽然 ZTM_MESH_NAME 本身看起来是合理的配置项(指定 mesh 名称),但声明/文档不一致是值得注意的元数据错误,用户应确认没有其它未声明的敏感凭证被要求。
Persistence & Privilege
技能没有 always:true,也不包含安装脚本或写入系统/其他技能配置的步骤;默认允许模型调用(平台默认),但技能本身没有请求长期驻留或高权限访问。
What to consider before installing
这个技能的运行说明看起来合情合理:它只使用 meshlink CLI 来检测端口并在获得用户明确确认后发布服务。但在安装或允许代理调用前请注意:
- 元数据与 SKILL.md 不一致:文档要求 meshlink CLI 和 ZTM_MESH_NAME,但注册信息未列出这些依赖。向发布者确认或在信任前手动检查。
- 验证 meshlink-cli 的来源:不要从不明来源安装全局 npm 包。优先从官方仓库/GitHub releases 或公司内署名的包源获取。审查该 CLI 的代码或发行说明,确认它不会在后台泄露凭证或自动向外部上传数据。
- 注意自动化风险:SKILL.md 要求用户确认才执行 publish,但技能能被模型调用。确认你信任运行该技能的代理策略,或仅在手动触发时使用它。
- 环境变量无敏感性后果:ZTM_MESH_NAME 看似非凭证,但确认它不会被用作或替换成包含凭证的变量。
如果你不能确认 meshlink-cli 的可信来源或想要更严格的控制,先不要安装;要求技能拥有者修正注册元数据并提供官方安装/来源链接以及可审计的 CLI 发布地址。Like a lobster shell, security has layers — review code before you run it.
latestvk97dfcwwxeq0hzw9x1qqj7wwrn82m0fg
License
MIT-0
Free to use, modify, and redistribute. No attribution required.