Back to skill
Skillv1.0.0
ClawScan security
短链接 - 即刻数据 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 28, 2026, 11:47 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能的声明、所需依赖和脚本行为在逻辑上是一致的:它需要一个即刻数据的 AppKey 并调用即刻数据的短链接 API,未发现与其描述明显不符的权限或隐藏后门。
- Guidance
- 总体上该技能在功能与所需权限上是一致的;在决定安装/使用前请注意: - 仅向你信任的服务(https://api.jikeapi.cn 或官网)提供 AppKey,避免在不可信环境中设置凭据。 - 脚本会把 appkey 放入 URL 查询参数(appkey=...),这可能被代理或服务器日志记录,敏感场景下应避免或使用可收回的低权限/临时 Key。 - 脚本支持用环境变量 JIKE_API_BASE_URL 覆盖默认 API 主机,确认未被他人设置或篡改以防请求被重定向到非官方服务。 - 如果你担心泄露,可在受控环境先手动运行并审阅 scripts/shortlink.py 源码,或把 key 通过命令行临时传入 (--key) 并在使用后撤销。 如果你希望更高保障,建议联系即刻数据官方确认 AppKey 的权限边界或要求 API 支持通过 Authorization header 发送凭据以避免在 URL 中暴露。
Review Dimensions
- Purpose & Capability
- ok技能名称/描述为短链接服务,要求 python3 和 一个 JIKE_SHORTLINK_KEY(或 JIKE_APPKEY)作为主凭据,与脚本中调用短链 create/restore/stat 接口的行为一致。没有要求与短链接功能不相关的凭据或二进制。
- Instruction Scope
- noteSKILL.md 指导运行脚本并设置 AppKey,脚本实现也仅执行 URL 参数校验并向即刻数据 API 发起 HTTP 请求,范围与目的相符。需注意脚本会(1)尝试从脚本目录的 .env 读取 AppKey,且(2)支持通过环境变量 JIKE_API_BASE_URL 覆盖默认 API 主机——这两点在 SKILL.md 中没被充分突出,可能导致请求被重定向到非官方主机(用于测试是有用的,但在不受信环境下存在风险)。
- Install Mechanism
- ok无安装规范(instruction-only + 附带脚本),不会自动下载或写入新二进制;仅要求系统上存在 python3,安装风险低。
- Credentials
- note所需的主要凭据仅为 JIKE_SHORTLINK_KEY(或 JIKE_APPKEY),与短链接服务相称。但脚本还使用未在 requires.env 列出的环境变量 JIKE_API_BASE_URL(可重定向 API 目标),以及将 appkey 作为 URL 查询参数发送(易被代理/服务器日志记录、可能泄露),这些实现细节应被用户注意。
- Persistence & Privilege
- ok技能没有请求长期驻留(always=false),也不修改其他技能或系统配置,权限边界清晰。