Back to skill
Skillv1.0.0
ClawScan security
具身智能就业资讯追踪 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 23, 2026, 3:26 PM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声称每周抓取并整理具身智能领域招聘信息;它是说明文档驱动的、未要求凭据或安装额外软件,整体与声明目的相符。
- Guidance
- 这是一个自洽的说明型技能,用来定期抓取并生成具身智能招聘汇总。安装前请考虑: - 修改默认保存路径为你自己的工作区(示例中用了硬编码的 Windows 路径)。 - 明确你将允许代理访问哪些网站:抓取公开招聘页通常安全,但如果需要抓取需要登录的内容(如某些微信文章或需要站点会话的招聘平台),不要向技能/代理提供个人浏览器 cookies、会话令牌或账号密码。 - 如果你要启用自动化调度(示例有 schedule 配置),确认调度工具的权限并审查首次运行生成的报告内容再分享。 - 若担心反爬或合规性,优先使用官方 API / 公司招聘页的公开 CSV/职位接口,或手动审核抓取规则。 总体上该技能在功能与要求上是一致的,但请在运行前调整路径和审核代理的网络访问权限。
Review Dimensions
- Purpose & Capability
- ok名称和描述与实际行为一致:读取内置公司的列表与招聘平台列表,访问公开招聘页面并生成报告。没有请求与目的不相关的凭据或二进制文件。唯一值得注意的是 SKILL.md 在示例中使用了硬编码的 Windows 路径(c:\Users\DELL\WorkBuddy\Claw\embodied-ai-jobs\),这对非 Windows 用户或不同工作区会导致不适配,但并不构成安全矛盾。
- Instruction Scope
- note运行时指令限定为:读取 references/*.md、访问公司官网招聘页、在招聘平台和微信公众号中搜索并汇总结果,最后生成本地 Markdown/HTML 报告。总体与目的对齐。但指令放宽了“如何搜索/抓取”的实现细节(例如使用何种 HTTP 客户端、是否需要登录、是否会抓取含用户隐私的页面等),因此运行时代理可能需要对外联网和网页抓取权限,且在抓取微信文章时可能受到登录/反爬限制。建议明确抓取范围与使用的浏览/请求权限。
- Install Mechanism
- ok这是一个纯说明型技能(instruction-only),没有 install 规范、没有下载外部二进制或包,因而没有安装相关风险。
- Credentials
- ok技能不声明任何必需的环境变量、凭据或配置路径,因此没有不成比例的凭证请求。需要注意的是若代理尝试抓取需要登录的源(例如某些微信内容或需要站点会话的招聘平台),可能会诱导用户或平台提供会话凭证;这不是技能本身请求的,但用户在运行时应避免向技能授予浏览器会话/cookie 或敏感凭据。
- Persistence & Privilege
- okflags 显示 always:false,技能为用户可调用且允许模型自主调用(平台默认)。技能不会请求修改其他技能或系统范围配置,也没有声明长期驻留或自启之外的特权。