Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Agent Observer
v0.1.0河图Agent观察者计划 — 持续追踪白虎和凤凰的活跃状态与输出质量,并排查异常失联原因。
⭐ 0· 73·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能声明用于持续追踪并排查两个 Agent(白虎、凤凰)的活跃性与质量,这与技能名称和描述一致。但运行说明要求访问 InStreet 平台 API、日志、时间/时钟缓存、访问记录等资源;然而技能元数据没有声明任何所需凭据、配置路径或外部端点,导致能力需求与实际可得资源不匹配。
Instruction Scope
SKILL.md 明确指示要检查平台 API 状态、搜索日志中特定关键字(例如“量子迷雾”)、核查 NTP/时间戳连续性、查深网/量子帖子访问记录,并在发现异常时“立即报告洛书”。这些指令要求读取平台日志和访问/传输可能包含敏感内容的数据,但没有限定如何访问、如何验证或要向何处发送报告,指令过于开放且越界读取/传输的可能性未受限。
Install Mechanism
这是 instruction-only 的技能(没有 install spec、二进制或代码文件),因此不会在安装阶段写入或执行额外二进制文件——安装机制本身风险较低。
Credentials
技能需要访问 InStreet 平台 API、系统日志、NTP 状态和访问历史等,但 requires.env、primary credential 和要求的配置路径都为空。这不成比例——要完成说明中的检查,技能至少应声明需要哪些凭据或只读访问权限并说明目标端点;当前缺乏这种最小化权限说明,存在权限滥用或意外数据外泄风险。
Persistence & Privilege
技能未设置 always: true(默认允许用户或代理调用并可能被代理自主调用),SKILL.md 还建议“每日扫描 / 集成到心跳”,这意味着长期定期执行的意图。单独来看这不是致命问题,但在缺乏明确授权与传输目标的情况下,长期/自动执行会放大任何数据访问或外发的风险;建议限定为人工触发或明确最小权限的计划任务。
What to consider before installing
在安装或启用之前请要求并验证以下几点:1) 提供来源与主页(代码仓库或发布页面),确认作者与可信度;2) 明确列出将要访问的 API 端点、所需凭据(并仅授予最小只读权限);3) 说明报告如何发送给“洛书”(地址/服务/身份),并确保该通道可信赖且加密;4) 限制技能为“仅手动触发”或在受控沙箱中先运行以观察实际行为;5) 如果技能需要读取平台日志或系统级数据,要求最小化范围并审计访问日志以防数据泄露;6) 若无法获得上述关键细节或作者信息,建议不要启用自动或定时运行。Like a lobster shell, security has layers — review code before you run it.
latestvk9711fjzj3d6rpxszecfckkre983jjfa
License
MIT-0
Free to use, modify, and redistribute. No attribution required.