Back to skill
Skillv1.0.3
ClawScan security
招中标信息大数据查询及分析-千里马 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 11, 2026, 3:34 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能的声明、所需凭据和运行说明在功能上是一致的:它只是一个调用知了标讯(ZLBX)API 的指令型技能,所需的环境变量与其用途对应且无多余权限请求。
- Guidance
- 这个技能本身在逻辑上是自洽的:它只是把查询转到知了标讯的 API,并要求一个对应的 API Key。在安装前请注意: - 确认 ZLBX_API_KEY 的来源可信(检查你是否信任 https://ai.zhiliaobiaoxun.com 或相关服务提供者); - 将 API Key 保存在安全的环境变量或密钥管理器中,切勿在聊天或代码中明文粘贴; - 评估你愿意将哪些敏感查询/公司数据发送到第三方服务(所有请求和返回数据都会到知了标讯服务器); - 注意该技能指示“只要涉及招投标关键词就必须使用”,这可能导致频繁触发并消耗配额或外发大量上下文,必要时限制触发条件或在代理策略中加入人工确认。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述是招投标/中标数据查询与分析;SKILL.md 描述了以 ZLBX_API_KEY 调用知了标讯的 REST API(POST 到 https://mcp-server.zhiliaobiaoxun.com/api_v2/{工具名}),所需的唯一环境变量正好是该 API key,未请求与用途不符的凭据或二进制。
- Instruction Scope
- noteSKILL.md 包含大量 API 端点和参数说明,指导代理在遇到招投标相关关键词时使用此技能——这是一种明确的触发规则(可能会导致广泛触发)。指令本身只涉及用环境变量读取 API key 并调用远端 API,没有要求读取本地文件或未申明的环境变量。
- Install Mechanism
- ok这是纯指令型技能(无安装脚本、无代码文件),因此不会在宿主系统写入或执行第三方二进制,安装风险最低。
- Credentials
- ok仅要求一个环境变量 ZLBX_API_KEY 作为主凭据,与技能功能一一对应;SKILL.md 也建议通过环境变量存放并明确警告不要在对话或代码中硬编码。
- Persistence & Privilege
- ok技能没有设置 always:true,默认允许模型调用是平台常规行为。技能也不请求修改其它技能或系统范围的配置。