Back to skill
Skillv1.0.0
ClawScan security
AGI数字伙伴-基础版 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 12, 2026, 4:01 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能大体实现了其宣称的本地化“AGI进化模型”功能,但文档与实现之间存在若干不一致(比如声称有后台独立运行模组与预编译 C 扩展),且运行时会自动读写/删除本地记忆文件并覆盖人格配置,安装来源不明,建议谨慎评估并在沙箱中试用。
- Guidance
- 要点与建议(面向非技术用户): - 总体:这个技能看起来确实实现了一个本地化的“AGI 进化”体系,功能与描述基本一致,但存在若干令人担忧的设计或文档不一致处,且来源未知——在将它用于生产环境或授予广泛权限前请谨慎。 - 主要不一致: - 文档声称有“外环阴性后台独立运行模组”,但包没有提供安装为守护进程/服务的说明或脚本(没有 install 规范),因此所谓“后台持续运行”可能只是设计概念,而非自动持续执行的组件。 - 文档提到“可选预编译 C 扩展 personality_core.so”,但清单没有明确列出该二进制。若作者提供了二进制并且脚本会在运行时加载它,这会带来更高风险,因为二进制不可审计且来源不明。 - 运行时影响与风险: - 脚本会在 ./agi_memory 下创建/修改/删除文件(包括自动重试、删除损坏 JSON、归档清理等)。如果你在运行目录已有重要数据或将 memory 目录指向其他位置,可能会被覆盖或删除。 - 首次交互流程会在未经用户选择的情况下初始化并写入默认人格(且被设计为“不询问用户”),如果你不希望自动覆盖当前配置,需要先备份。 - 没有请求外部凭据,未看到明显的网络外发调用(在可见片段中),但未提供全部文件内容时不能完全排除隐藏的网络行为。 - 建议的安全步骤: 1. 在隔离环境或受限容器/沙箱中先运行,避免在主工作目录或含敏感数据的位置运行。 2. 运行前手动创建并备份现有的 ./agi_memory 或任何可能被覆盖的文件(尤其是 personality.json)。 3. 在首次运行前审查仓库根目录是否包含未列出的二进制(如 personality_core.so)。若存在,谨慎对待:不要在信任主机上加载未知 .so,必要时删除或阻止加载。 4. 搜索全部脚本以确认是否存在网络调用(requests、socket、urllib、subprocess 调用 curl/wget、HTTP 目标等);如果你不熟悉代码,找安全或开发人员协助审查。 5. 如果你接受其行为(本地持久化、自动初始化、可能的文件删除),确保将 memory 目录限定为专用且非敏感路径,并启用备份与日志监控。 - 何时拒绝或回退:如果你不能在隔离环境中测试、无法确认是否包含未知二进制,或不能承受自动覆盖/删除本地文件,则不要安装或运行此技能。若发现未说明的远程连接或不明 .so,请立即停止使用并删除相关文件。
Review Dimensions
- Purpose & Capability
- note名称与描述(AGI 进化、人格定制、元认知等)与代码库总体功能大致匹配:大量脚本实现记忆存储、洞察生成、人格定制、建议池、生命周期管理等,本地文件 I/O 与推理流程符合声明用途。但有两处不一致:SKILL.md 提到“外环可独立后台运行”和“包含预编译 C 扩展 personality_core.so”,清单中没有明确的 .so 文件或后台服务/安装说明,来源未知,造成能力与实际部署方式的不确定性。
- Instruction Scope
- concernSKILL.md 明确要求运行多个局部脚本并在 ./agi_memory 中读写大量文件;首次交互流程强制初始化并且文档要求在不征询用户的情况下直接初始化默认人格(禁止显示选择或让用户确认)。指令包含删除损坏 JSON、重试初始化、以及生命周期管理中删除过期归档的逻辑(会删除 memory 目录下的文件)。这些都是与“对话/人格”相关的本地操作,但强制化、自动删除与覆盖行为(尤其在未备份或在与其他软件共享目录时)值得关注。未发现指令要求访问外部凭据或网络端点,但运行脚本会对本地磁盘状态有修改权限。
- Install Mechanism
- concern此技能为“instruction-only”且没有 install 规范 —— 这降低了远程下载风险。但 SKILL.md 与文档提到“可选 C 扩展 personality_core.so 用于加速”,而文件清单并未明确列出该 .so(清单仅显示 .py、.md、.json 等),这是一处不一致:要么扩展未随包提供,要么提供方式未说明(若实际上包含二进制并被加载,来源不明的二进制有潜在风险)。总体没有外部下载安装步骤,代码在本地执行。
- Credentials
- ok技能不请求任何环境变量、凭据或系统配置路径;所有 I/O 限定在相对路径 ./agi_memory(默认)和包内参考文件。这与其功能合理匹配:管理记忆、人格和洞察不需要外部 API key 或云凭据。
- Persistence & Privilege
- note技能未设置 always:true,且默认允许模型自主调用(平台默认),这本身正常。风险点在于:SKILL.md 描述的“外环独立后台运行”并没有提供安装为守护进程/服务的机制,因此其所谓的“后台持续运行”能力与包内容缺乏部署说明——这是一个设计与文档不一致(或未实现)的信号。另外,代码确实会在本地长期保存和管理记忆/归档(持久化文件、清理逻辑),这赋予它对工作目录长期影响的能力。