Back to skill
Skillv1.0.1
ClawScan security
双塔足球预测 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 29, 2026, 3:43 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能只是一个面向 LLM 的提示词框架,仅依赖比赛特征文本(fet_txt),不请求凭据或安装额外组件,整体与其描述一致。
- Guidance
- 这个技能本身是“提示词包”,不会访问网络或凭据;在决定安装/使用前请注意:1) 确认你给它的 fet_txt 包含所有必要信息(赔率、变动、热度等),因为技能只依赖该文本才能做判断;2) 如果你通过其它技能(例如 lota-football)自动获取 fet_txt,检查那个技能的权限/凭据与网络访问情况;3) prompt 要求严格 JSON 输出,建议在自动化流程中对 LLM 输出做结构与数值校验,防止模型发散或给出不合规结果;4) prompt 中提到的“Claude 接管”是模型偏好说明,不会自动调用第三方模型或服务——若你的运行环境没有该模型,行为可能不同。总体来看内部一致性良好,但请对依赖的 fet_txt 来源和后续自动化解析做合理验证。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述(双塔足球预测)一致:所有指令仅围绕将比赛特征文本注入 prompt.md 并一次性调用 LLM 完成三阶段分析。未要求与其用途无关的环境变量、二进制或安装步骤。
- Instruction Scope
- noteSKILL.md 与 prompt.md 都明确只使用输入的 fet_txt 并要求一次 LLM 调用返回严格 JSON。注意 prompt 中提到“通过 lota-football 技能获取 fet_txt”——该外部技能可能有自己的权限/网络要求;此外文本里出现“Claude 接管”等表述,是模型/实现层面的偏好指令,可能在不同运行环境下行为不一,但这属于实现/兼容性问题,不是直接的数据泄露指令。
- Install Mechanism
- ok无安装规范、无代码文件(instruction-only),不会在本地写入或下载可执行内容。风险面低。
- Credentials
- ok未声明任何环境变量、凭据或配置路径。技能自称不需要 API 密钥或网络访问,所需输入仅为 fet_txt,所请求的权限与功能相称。
- Persistence & Privilege
- okflags 表示默认行为(always:false,user-invocable:true),技能不会请求常驻或跨技能配置修改。