Back to skill
Skillv1.0.0
ClawScan security
私域早晚安Reporter · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 7, 2026, 5:50 AM
- Verdict
- benign
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 说明书与所需权限和安装行为在功能上是一致的:它只是一个“生成早晚报”的运行说明,没有请求额外凭证或写入磁盘,但关于如何联网获取资讯的细节不明确。
- Guidance
- 主要注意点: - 数据源与发布目标:SKILL.md 仅写了“自动联网获取今日热点/天气”,但没列出具体 API 或网站,也没说明是否会自动把生成内容直接发到企业微信/微信群。安装前问清楚:它会用哪些数据源?会把内容 POST 到哪里?是否需要你的企业微信/第三方账号凭证? - 审核流程:说明里建议“福利信息需人工确认后发送”。如果你计划无人值守自动发布,务必在平台/代理设置中保留人工审核环节,避免误发违规或错误信息。 - 隐私与合规:自动抓取的资讯可能带版权或合规风险(转载、广告、敏感话题)。确认取源合法并定好过滤规则。 - 测试与最小权限原则:先在测试群/小范围内试运行,验证内容质量与时间安排;不要给该技能或运行环境不必要的凭证(比如企业管理凭证、渠道写权限)。 如果开发者能提供:明确的数据源列表、是否需要/如何存储任何凭证、以及如果要直接发布到企业微信所需的授权详情,会提高信心并降低潜在风险。
Review Dimensions
- Purpose & Capability
- okSkill 的名称和描述与其运行说明一致:生成早/晚报需要获取天气与网络资讯并进行文本组合,SKILL.md 只描述了这些行为,且没有声明额外的凭证或不相干的依赖。
- Instruction Scope
- note说明要求“自动联网获取”今日热点/天气/节气,但没有列出具体数据源、API 或目标端点,也未说明是否会直接发送到企业微信等平台;说明中未要求读取本地文件或额外环境变量。缺少数据源/发布目标的细节是值得注意的,但不构成明显不一致。
- Install Mechanism
- ok无安装规范、无代码文件(instruction-only),因此不会下载或在宿主上写入新二进制文件,安装风险低。
- Credentials
- ok声明中没有要求任何环境变量、凭证或配置路径;这与技能目的(仅生成文本并建议人工确认福利信息)相符。
- Persistence & Privilege
- ok技能未设置 always:true,默认允许用户调用并可能被代理自主调用(平台默认),没有要求修改其他技能或系统配置。