Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
未来清晨
v1.0.0查询未来清晨的活动信息。当用户询问未来清晨的活动、近期活动、活动安排、某个活动详情时使用。支持列出所有活动和根据活动ID获取详情。默认输出JSON,用户要求时可输出Markdown格式。
⭐ 0· 36·0 current·0 all-time
byBai Loong@longbai
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能描述为“查询未来清晨的活动”,SKILL.md 的实际行为正是通过两个 HTTP POST 接口列出活动和查询活动详情,功能上与描述一致。但 SKILL.md 通过 node -e 直接运行 JavaScript,这要求运行环境中有 Node.js;技能元数据未列出任何必需二进制(如 node),这是元数据与实际需求的不一致。同时 SKILL.md 使用了硬编码的 CLUB_ID 和 api.cumen.fun 域,元数据中没有解释这些来源或必要性。
Instruction Scope
运行指令只做网络 POST 请求到 https://api.cumen.fun 的两个端点、处理响应并输出 JSON/Markdown,不读取本地文件或其他环境变量,也不要求用户凭据。范围总体限于活动查询,但会向一个外部主机发送请求并解析返回的地点/坐标/文本,可能获取或显示位置相关信息或富文本。
Install Mechanism
无安装说明、无代码文件、仅为说明性脚本;因此没有在安装阶段下载或写入第三方代码的风险。
Credentials
技能不请求任何环境变量或凭证(元数据中也未声明),这与当前脚本一致。但脚本会向外部 API 发送请求:如果该 API 实际需要认证或返回敏感信息,技能未说明如何安全处理这些凭证或数据。硬编码的 CLUB_ID 存在但并不显得敏感。
Persistence & Privilege
技能未请求常驻(always)或修改系统/其他技能配置,允许代理自主调用为默认行为,未发现额外特权请求。
What to consider before installing
这个技能看起来确实是为查询“未来清晨”俱乐部的活动而写,但在决定安装/使用前请注意:
- SKILL.md 使用 node -e 直接执行 JavaScript,但技能元数据没有声明 node 为必需二进制;如果您允许技能在运行时执行脚本,请确保运行环境中 Node.js 的版本与安全策略符合要求。
- 脚本会向外部主机 api.cumen.fun 发送请求——源码/主页未知,建议先确认该域名的可信度、隐私政策和是否需要认证。若担心数据外泄,请在受控网络或沙箱中测试。
- 技能会处理并展示地点坐标与富文本(可能含 emoji 或 HTML),请注意在呈现到终端/网页时的 XSS 或隐私风险。
- 建议索要技能来源或主页、让发布者在元数据中声明“需要 node”以及说明 api.cumen.fun 的用途/是否需要凭证;在缺乏这些信息前,将其视为有风险并谨慎使用。Like a lobster shell, security has layers — review code before you run it.
latestvk97ejpmy1g9hf5tt79wd8d3es584pz0v
License
MIT-0
Free to use, modify, and redistribute. No attribution required.