Back to skill
Skillv1.0.1
ClawScan security
Automatic Test Case Generation Pro · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 23, 2026, 2:24 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能是一个说明性/指令型技能,声明的目标(将需求文档等转换为结构化测试用例)与其运行时说明一致,没有额外权限或安装动作要求。
- Guidance
- 技能本身为纯说明型(无代码、无安装、无凭据),总体内部一致。但在决定使用前请注意: - 如果你选择将生成结果“落地”到飞书文档、云盘或本地文件,平台侧的 feishu_create_doc / feishu_drive_file / write 等工具会使用各自的权限/凭据去写入目标位置,请事先确认这些工具的授权范围和目标路径是否符合隐私/合规要求。技能不会管理这些凭据,但会调用可用工具。 - 避免在提交给技能的需求材料中包含敏感凭据、生产密钥或个人隐私数据;测试用例往往包含示例数据,必要时先脱敏。 - 技能承诺“只在环境可用时调用工具”和“先生成内容再决定是否落地”,但你应在实际运行时审查代理要执行的具体调用(尤其是写入/上传操作的确认提示)。 总体上该技能内部连贯,可用于生成结构化测试用例;如需更高信心,可在受控环境先行试用并审查其生成样例与任何写入操作的记录。
Review Dimensions
- Purpose & Capability
- ok技能名称、描述与 SKILL.md 中的职责(将需求、表单规则、审批流等转为可执行测试用例)高度一致;没有声明或请求与该目的无关的凭据、二进制或配置路径。
- Instruction Scope
- okSKILL.md 仅描述如何解析输入材料并生成测试场景与用例格式;未要求读取系统文件、环境变量或发送数据到与功能不相关的外部端点。对调用外部工具(飞书文档/云盘/写本地文件)有明确约束:只有在运行环境提供对应工具且用户要求时才调用。
- Install Mechanism
- ok无安装规范、无代码文件 —— 这是指令式技能的最低风险形式,运行时不会把外部二进制或未审查代码写入磁盘。
- Credentials
- ok技能不声明任何必需环境变量、凭据或配置路径;SKILL.md 也未引用未声明的秘密或凭据,比例合理。
- Persistence & Privilege
- okflags 中没有 always: true;技能为用户可调用且允许模型调用(默认行为),并未请求长期驻留或修改其他技能/系统配置。