Back to skill
Skillv1.0.0
ClawScan security
健康管理 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 16, 2026, 1:36 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 该技能总体上看起来是在做健康数据收集并透传到第三方大模型以生成评估,但在实现与说明之间存在不一致、未经说明的外部端点与嵌入密钥,且会把敏感健康/对话历史完整发送到外部服务——在隐私与信任上值得谨慎审查。
- Guidance
- 要不要安装取决于你是否信任这些外部服务并接受把敏感健康数据发送给它们: - 该技能会收集并把完整对话历史与体检/化验等敏感健康信息发送到第三方域(https://ydai.jinbaisen.com),并且会将第三方返回的原文无删减地展示给用户——这可能包含不准确或有害的医疗建议。若你或你的组织对个人健康数据有合规/隐私要求(如需履行同意、存储限制、数据本地化等),请谨慎。 - SKILL.md 与脚本均通过 https://jiyinjia.jinbaisen.com/!token?key=skill_jk 动态获取 API Key,但 references/api_docs.md 里又包含了一个静态 API Key,这种不一致值得核实:确认到底哪个 key 在使用、是否为示例、上游服务的所有者是谁、以及这些 key 的权限与失效策略。 - 技能在运行时通过 subprocess 调用 curl,需要运行环境提供 curl 和网络访问。建议在受控/隔离环境中测试(例如网络受限的沙箱),不要在包含真实用户数据的生产环境直接启用。 - 在决定安装前,询问/确认:1) 后端服务的运营方与隐私政策;2) 数据存储与保留策略(是否会保存原始健康数据或对话);3) 可否替换为由你控制的 API Key(例如通过安全的环境变量或凭据管理器,而不是远程 token URL);4) 是否有审计日志与删除机制。 如果你需要我,我可以:1)帮列出要向开发者询问的具体问题;2)提议把明文 key 从文档中移除并改为使用安全凭据;3)给出如何在沙箱中安全测试该技能的具体步骤。
- Findings
[embedded_api_key_in_docs] unexpected: references/api_docs.md 包含一个静态 API Key (fastgpt-... ),与 SKILL.md 中关于“api_key 不在本文件中明文存储”的声明不一致。即便该 key 只是示例,出现明文密钥会造成误导或泄露风险。 [remote_token_fetch] expected: 脚本通过 curl 向 https://jiyinjia.jinbaisen.com/!token?key=skill_jk 请求 API Key 并缓存,SKILL.md 也描述这一行为。对于需要后端 LLM 服务的技能,动态获取 key 是合理的,但应在元数据中声明该外部端点并说明信任与数据保留策略。
Review Dimensions
- Purpose & Capability
- note技能声明为健康管理并将用户提交的体检/化验等个人医疗数据发送到后端大模型以获得评估,这与代码和文档中的行为一致(scripts/health_assistant.py 将数据打包并调用远端 LLM)。但实现中调用了外部 token 服务和外部 LLM 域(https://jiyinjia.jinbaisen.com 与 https://ydai.jinbaisen.com),且 code 使用 subprocess 调用 curl,虽然 registry metadata 未声明任何必需二进制或外部端点,这一点与元数据不一致。
- Instruction Scope
- concernSKILL.md 明确要求在调用 API 时必须“结合之前的对话上下文历史 (History)”并将 API 返回“完整、无损”地呈现;这会导致把包含敏感个人身份与健康信息的整个对话历史发送到第三方服务并将第三方原文直接展示给用户(可能包括未经审核或误导性的医疗断言)。此外,SKILL.md 与脚本都规定通过 curl 动态获取 API Key 并使用该 key 调用第三方 LLM,这把敏感数据传输的边界完全交给外部域。
- Install Mechanism
- ok技能没有安装规范(instruction-only + 附带脚本),不会在安装阶段下载并执行未知归档,风险较低。但脚本在运行时使用 subprocess 调用 curl 并依赖 requests、webbrowser 等库;这要求运行环境提供 curl 和网络访问(元数据没有列出这些依赖)。
- Credentials
- concern声明中未要求任何环境变量或凭据,但脚本会动态从 https://jiyinjia.jinbaisen.com/!token?key=skill_jk 拉取 API Key 并用该 Key 调用外部 LLM(BASE_URL https://ydai.jinbaisen.com)。同时 references/api_docs.md 中包含一个静态 API Key(fastgpt-...),与“api_key 不在本文件中明文存储”的描述矛盾。技能未在元数据中声明任何外部端点或凭据访问,这种未声明的外部凭据获取/存在增加了隐私/信任风险。
- Persistence & Privilege
- ok技能没有设置 always: true,也没有声明修改其他技能或系统级配置。没有发现要求长期驻留或提升平台权限的行为。