Back to skill
Skillv1.0.2
ClawScan security
企业信息查询 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 25, 2026, 9:55 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 此 skill 的代码、依赖和运行说明与其“启信宝企业信息查询”描述一致 —— 它只需要本地的 QXBENT_API_TOKEN、Node/npm 和 axios 来调用声明的启信宝 API 端点。
- Guidance
- 此 skill 的实现与说明一致且没有明显恶意行为,但请在安装前注意: - 仅在信任来源或受控环境下设置 QXBENT_API_TOKEN;不要在对话中粘贴或共享该 token。 - 为 token 申请最小权限/配额(如可限制每日调用)。 - 源信息显示“Source: unknown / Homepage: none”,如果你依赖长期使用,最好确认发布者或从可信仓库获取。 - 在生产环境使用前可本地运行示例(npm install && npm run test / interactive)以验证行为与预期一致。 - 如果你有网络/合规限制,可检查并允许/监控到域名 https://external-api.qixin.com/skill/ent/public 的出站请求。
Review Dimensions
- Purpose & Capability
- okSkill 名称/描述与实际代码和依赖一致:客户端只调用启信宝风格的企业查询接口(baseURL 为 https://external-api.qixin.com/skill/ent/public),所需二进制为 node/npm,依赖仅为 axios。没有请求与任务无关的服务或凭证。
- Instruction Scope
- okSKILL.md 的运行指令限定在安装依赖(npm install)、通过环境变量读取 QXBENT_API_TOKEN 并调用 API。README/USER_GUIDE/示例脚本都只演示查询流程,没有要求读取系统文件或发送数据到未声明的第三方。
- Install Mechanism
- ok安装规范仅列出通过 npm 安装 axios(package.json 也只依赖 axios)。没有从可疑 URL 下载或写入不标准路径,安装风险低且符合 Node.js 项目惯例。
- Credentials
- ok仅要求一个环境变量 QXBENT_API_TOKEN(在代码中被 DEFAULT_API_TOKEN 使用),该凭证与访问启信宝 API 的目的直接对应。没有要求其它不相关的密钥、密码或系统配置路径。
- Persistence & Privilege
- ok技能未请求 always: true,也不修改其它技能或系统范围配置。Agent 可自主调用技能是平台默认行为(disable-model-invocation 为 false),这与该 skill 的用途相符。