Back to skill
Skillv1.0.0
ClawScan security
生日花语 - 即刻数据 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 29, 2026, 3:32 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该 Skill 的实现、所需环境变量和运行说明与其“生日花语查询”描述一致,没有发现与功能无关的凭据访问或可疑安装行为。
- Guidance
- 该 Skill 看起来就是一个对接即刻数据(jikeapi.cn)的查询工具:它会将用户提供的生日参数和你的 AppKey 以 GET 请求发往 api.jikeapi.cn。安装前请确认:1) 仅向可信来源(你自己在即刻数据申请的 AppKey)提供 JIKE_BIRTHDAY_FLOWER_QUERY_KEY,不要复用高权限或敏感的通用密钥;2) 生日属于个人信息,考虑是否在上下文中发送敏感生日数据;3) 脚本会在脚本目录读取 .env 中声明的 AppKey 名称(不会枚举或回传无关环境变量);4) 运行前确保系统有 python3。总体上内部一致且与描述相符。
Review Dimensions
- Purpose & Capability
- okSkill 名称/描述(生日花、花语、诞生石查询)与所需项一致:只需要 python3 和一个即刻数据的 AppKey(JIKE_BIRTHDAY_FLOWER_QUERY_KEY),并调用 api.jikeapi.cn 的 /v1/birthday/flower 接口。
- Instruction Scope
- okSKILL.md 指示仅设置 AppKey(或 JIKE_APPKEY)、调用内含脚本,或直接请求 API。脚本仅解析命令行参数、读取指定环境变量或脚本目录下的 .env(仅查找列出的 AppKey 名称),并向即刻数据 API 发出请求;无额外的文件读取、系统配置修改或将数据发送到未知/未声明的外部端点。
- Install Mechanism
- ok无安装规范(instruction-only 加上随包脚本),不从外部 URL 下载或安装包;仅要求本地有 python3,可直接运行提供的脚本,安装机制风险低。
- Credentials
- ok仅要求单个服务凭据(JIKE_BIRTHDAY_FLOWER_QUERY_KEY,且支持通用 JIKE_APPKEY 作为回退),这与功能直接相关。脚本读取 .env 但只提取声明的 AppKey 名称,没有扫描或泄露其他环境变量。
- Persistence & Privilege
- ok没有设置 always:true,未修改其他技能或系统级配置,脚本不会在磁盘上持久写入凭据或自行注册自身,权限/持久性要求合理。