Back to skill
Skillv1.0.0
ClawScan security
国顺投标助手 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 4, 2026, 10:07 AM
- Verdict
- Benign
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 这个技能是一个说明型的“投标/技术方案生成”助手,内容与其描述大体一致;没有安装步骤、外部下载或显式的凭据要求,但对“匹配历史业绩/比对公司资质”等公司专有数据的处理方式未说明,值得在使用前确认数据来源和传输范围。
- Guidance
- 这是一个说明驱动的投标文档生成技能,整体上与其描述一致且没有明显恶意代码或可疑安装动作。但在安装/使用前请注意: - 确认“历史业绩/我方资质”数据的来源与处理方式:该技能声称会匹配公司历史业绩并与公司资质比对,但没有声明如何安全地获取这些数据(是否需要上传 Excel/PDF、是否会访问内部系统、是否会向外部服务发送数据)。在未明确前,避免把未脱敏的公司机密或客户信息直接传给技能。 - 测试时使用脱敏或示例招标文件:先用无敏感信息的示例文件测试生成结果,确认输出格式和敏感字段处理逻辑。 - 网络/集成注意事项:SKILL.md 给出飞书卡片输出示例,但没有提供发送到飞书的凭据或自动推送流程,如果你计划集成到飞书/企业系统,请在授权前核实需要提供哪些凭据,并限定权限与接收范围。 - 合规与审查:AI 生成的技术方案应由项目经理/技术负责人审核并补充“⚠️”标注项,尤其是涉及资质声明、业绩证明等可能用于招标资格审查的内容,避免直接将未经验证的文本用于正式投标材料。 若你需要更高信心的评估,请提供:技能的发布者联系信息、实际部署环境(本地/云/企业内网)、以及技能是否会被配置为访问公司内部存储或外部 API(若会,请列出这些端点与所需凭据)。
Review Dimensions
- Purpose & Capability
- note技能名与描述(自动生成施工组织设计、偏离表、资质自检等)与实际提供的模板、文档和运行指令高度一致。但 SKILL.md 多次提到“匹配历史业绩”“与投标人(江苏国顺智能科技有限公司)资质比对”等公司专有操作,却没有声明需要的环境变量、配置路径或外部数据源,存在对数据取得方式的说明缺失(可能依赖于用户上传/粘贴,但这点没有明确)。
- Instruction Scope
- ok运行时说明仅要求解析用户上传的招标文件(PDF 或粘贴文本)并生成文档/卡片模板;没有指示访问系统路径、读取不相关环境变量或主动将数据发送到未声明的外部端点。文档示例包含飞书卡片 JSON 模板,但未包含发送到飞书 API 的凭据或网络调用说明。
- Install Mechanism
- ok无安装规范、无二进制下载、无代码文件执行;这是纯说明型技能(instruction-only),因此安装风险低,不会在代理主机上写入或执行附带的二进制文件。
- Credentials
- note技能不请求任何环境变量、凭据或配置路径 —— 就最小权限而言无问题。但功能文档暗示需要访问“历史业绩”“我方资质”等企业数据以生成资质自检与业绩描述,未说明这些数据由用户上传还是通过某个内部系统/接口获取;在未明确的情况下,这可能导致误用或数据泄露风险(取决于部署/集成方式)。
- Persistence & Privilege
- ok技能没有 always:true,不会被强制常驻;默认允许模型自主调用(平台默认)。技能也没有声明修改其他技能或系统范围配置的行为。