Back to skill
Skillv1.0.0
ClawScan security
商品比价技能 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 10, 2026, 7:38 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声明与其包含的代码和运行说明在功能上基本一致:用于多平台价格采集、分布建模与基于显性规则的风险评估,未发现与其目的不符的权限请求或隐蔽外联行为。
- Guidance
- 总体上这是一个自洽的比价/风险评估技能,但在安装与使用前请注意: - 运行前确认运行环境已安装所需 Python 库(numpy,若需要 scipy 再安装),否则脚本会失败。 - SKILL.md 要求代理进行网络采集:确保采集遵守目标网站的 robots/使用条款、不要上传或存储不必要的用户隐私信息(例如通过采集带有卖家私人信息的数据)。 - 文档要求将 L3(包含分位数、原始数据、评分拆解)仅作为内部数据,不展示给用户;在集成时务必强制该策略,避免误泄露原始数据或计算细节给终端用户。 - 虽然未发现恶意外联或凭据请求,但实际部署时请在受控环境验证脚本输入/输出(使用示例数据测试),并审查任何由代理实现的网络抓取代码路径以确认不会将采集结果发往未明的外部端点。
Review Dimensions
- Purpose & Capability
- ok名称/描述、文档与随包脚本(data_validator.py、price_analyzer.py)都围绕价格聚合、异常检测与显性规则风险评分展开,所需依赖(numpy)与实现匹配。
- Instruction Scope
- noteSKILL.md 指示智能体“通过网络搜索和公开渠道获取价格信息”(即需抓取/调用外部站点),并定义三层输出(L1 对用户,L3 仅内部)。脚本本身没有内置网络/外联代码,但使用该技能意味着代理将执行网络采集:请确认采集行为符合目标站点的使用规则和隐私/爬虫政策;也要确保代理不会错误地对用户暴露 L3 的内部数据。
- Install Mechanism
- note技能是“instruction-only”且无安装规范,但 SKILL.md 列出 python 依赖(numpy/scipy),包内含 Python 脚本会依赖这些库。平台上未规定如何安装依赖,部署前需确保运行环境已安装合适的 Python 包(scipy 似非关键但合理)。
- Credentials
- ok不请求任何环境变量、凭据或配置路径;脚本仅在本地处理输入 JSON,不需要外部密钥,所需权限与功能相称。
- Persistence & Privilege
- ok技能未设置 always:true,也不修改其他技能或系统配置;默认的自主调用权限保持平台常态。