Back to skill
Skillv1.4.0
ClawScan security
flomo笔记打分技能 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 26, 2026, 3:55 PM
- Verdict
- suspicious
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声称会自动从你的 flomo 拉取并展示“完整笔记”并持续更新评分规则,但包内未声明或请求任何访问凭据、网络端点或安装步骤,存在用途与所需权限不一致且有隐私风险。
- Guidance
- 要点与建议: 1) 不一致性警告:技能需要访问并展示“完整 flomo 笔记”,但包内没有声明任何用于访问 Flomo 的凭据(例如 FLOMO_TOKEN 环境变量)或网络端点;README 提到 SECRET.md,但该文件未包含在清单中。安装前请向作者确认:如何认证到 Flomo,凭据应以何种方式提供,凭据会不会被上传或共享。 2) 隐私风险:技能会读取/保存完整笔记并把它们作为训练材料来“立即更新”评分规则。确认 scoring-history.json 与 any_notes_index 是否真地只保存在本地并且不会被发送到第三方服务器;如果你有敏感笔记,先不要把它们导入或授权自动访问。 3) 技术细节缺失:要求作者在技能元数据中明确列出所需的环境变量/凭据名称、网络端点(API URL),以及说明会不会与外部服务器通信或仅在本地处理数据。当前缺失这些信息是不合格的工程实践。 4) 版本与文件不一致:注册表显示 v1.4.0,但包内 skill.json 是 v1.3.0;README 列出的隐私文件(如 all_notes_index.json)并不在清单中。要求作者修正并解释差异。 5) 若决定使用: - 只在你能审查并控制凭据存放位置(例如本地 SECRET.md 或明确的 env var 名称)后授权。 - 优先要求作者发布最小权限的访问方式(只读、仅特定笔记集合)。 - 备份你的笔记并在受控环境中先行测试,确认技能不会向外部 URL 上传完整笔记内容。 总结:技能目的合理(帮助你给 flomo 笔记打分并学习偏好),但当前包在“如何安全获取完整笔记”这一关键点上自相矛盾——在作者修正并明确凭据/网络行为前,建议将其标记为可疑并谨慎对待。
Review Dimensions
- Purpose & Capability
- concern技能目标是“随机推送用户的 flomo 笔记并展示完整内容”,这隐含需要访问用户的 flomo 数据(通过 Flomo API 或本地导出文件)。但清单中没有任何环境变量、凭据、配置路径或二进制依赖来实现这一点。README 提到“Flomo MCP API”和“Token: 已配置在 SECRET.md”,但 SECRET.md 不在包内且 skill.json/manifest 未声明任何 required env。这意味着声明的能力与实际所需权限不一致。
- Instruction Scope
- concernSKILL.md 明确要求读取并展示笔记完整内容、排除已打分项、更新 scoring-history.json、并实时修改 grading-principles.md(使用 edit_file 的 replace/append 模式)。这些指令会读取/写入本地文件(存在于包内的 scoring-history.json、grading-principles.md 可被修改),这是可以理解的。但核心问题在于如何获得“完整笔记内容”——scoring-history.json 中只包含 content_preview(被屏蔽/摘要),无法满足“必须完整展示”的要求。SKILL.md/README 暗示要访问 Flomo API,但没有给出如何认证、也没有声明要向哪些外部端点发送数据;这种模糊性授予了代理很大的自由度(它可能尝试联网、请求凭据或要求用户粘贴数据)。此外 README 中提到的一些隐私文件(如 all_notes_index.json、.scored_ids.txt 等)并未出现在文件清单中,进一步增加不一致性。
- Install Mechanism
- note这是一个 instruction-only 技能(无安装说明、无代码文件要执行),从安装风险角度是低的:没有下载/执行外部归档或第三方包。不过 instruction-only 模式把安全边界转移到运行时的 I/O 和网络调用:缺乏明确声明的网络端点或凭据并不等于安全——相反,它表示在运行时代理可能会尝试以不透明的方式获取数据/凭证。
- Credentials
- concern技能需要访问用户私人笔记(完整内容),但 requires.env 列表为空,primary credential 也未声明。README 指出“Token: 已配置在 SECRET.md”,但 SECRET.md 不在包内,且 SKILL.md 并未声明需要哪个环境变量名(例如 FLOMO_TOKEN)。这不匹配:访问第三方 API 通常需要明确的凭据声明。scoring-history.json 包含被屏蔽的预览,但 README/README 列表表明可能存在本地未公开的完整历史文件(scoring-history.json 被列为“隐私文件”),处理此类完整笔记会有重大隐私/凭据要求,当前清单未能说明这些需求。
- Persistence & Privilege
- ok技能未设置 always:true,也未声明会修改其它技能或系统范围配置;其行为主要是读取/写入技能目录下的文件(grading-principles.md、scoring-history.json)。默认允许代理自主调用(disable-model-invocation:false),这是平台默认行为,并非单独风险信号。但应注意:该技能会自动迭代并‘立即更新’评分原则——如果代理能联网或获得凭据,持续自动更新可能会扩大影响面。