ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Baidu Map Harmonyos SDK(百度地图官方鸿蒙 SKills)

v1.0.2

帮助在 HarmonyOS NEXT 上使用百度地图鸿蒙 SDK 进行开发。支持独立包(@bdmap/base、@bdmap/map、@bdmap/search、@bdmap/util)和组合包(@bdmap/map_walkride_search、@bdmap/navi_map),以及定位 SDK(@bdmap...

0· 236·0 current·0 all-time
bybaidu-maps@lbs-bmap
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
Crypto
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
high confidence
Purpose & Capability
Skill 名称与说明为百度地图 HarmonyOS SDK 开发助手;SKILL.md 仅包含开发流程、包管理、构建与代码规范等说明,要求运行 ohpm install / hvigorw assembleHap / 编辑 oh-package.json5 / 检查 oh_modules/Index.d.ets 等,这些都是实现该开发帮助目的所需且合理的操作。
!
Instruction Scope
文档明确要求代理读取和修改工程文件(oh-package.json5、源文件中的 import)、在工程上下文执行命令(ohpm install、ohpm uninstall、hvigorw assembleHap),并且规定“自动执行切换(卸载独立包→安装组合包→批量替换 import → 构建验证),无需额外询问用户”。这种强制性的自动化修改与构建在开发助手场景可理解但具有潜在破坏性(误删依赖、引入版本问题、批量替换出错、覆盖用户本地改动),应在执行前获得明确用户确认并进行备份/回滚措施。文档并未要求反馈到任何外部网络端点或泄露凭据,但多处要求访问敏感本地 artefacts(appIdentifier、AK)用于鉴权与构建;读取这些是合理的,但同样应谨慎。
Install Mechanism
这是一个 instruction-only 技能,没有 install spec、下载或执行第三方二进制;因此不会在安装阶段往磁盘写入或运行不明代码,风险较低。
Credentials
技能不要求任何环境变量、机密或外部凭据。SKILL.md 描述中会用到百度地图 AK、appIdentifier、以及在本地/CI 中运行 ohpm 和构建命令等敏感项,但文档建议妥善管理 AK(不要放到公开仓库),并未要求将凭据交给技能本身,权责边界清晰且合理。
!
Persistence & Privilege
技能没有设置 always:true,但其文档强制性要求代理在发现独立包/组合包不符合时“自动执行切换流程并无需额外询问用户”。在平台默认允许技能被代理自主调用的语境下,这会放大潜在风险:一个能被自主调用的技能若被触发就可能在用户项目中执行卸载/安装、批量替换源代码并运行构建。因此建议限制自动执行权限、要求显式用户确认并提供回滚/备份。
What to consider before installing
这个技能总体上与其描述一致:它是百度地图 HarmonyOS SDK 的详尽开发指南,包含安装、包管理、代码规范及构建步骤。主要注意事项: - 风险点:SKILL.md 要求代理在必要时“自动执行”卸载已有包、安装组合包并批量替换 import,然后运行构建验证——这些是对用户项目的实质性、更改性操作,可能导致构建失败或丢失本地改动。不要在没有备份和明确确认的情况下允许自动执行这些步骤。 - 建议操作:在让代理执行任何 ohpm uninstall / install 或 批量替换代码 前,要求它: 1) 向你显示将要修改的文件列表与具体变更(diff); 2) 明确提示将运行的 shell 命令并等待你确认; 3) 自动创建/提示你创建项目备份或分支(git commit / branch); 4) 在 CI 或本地安全环境中先运行 ohpm install && hvigorw assembleHap,手动审查构建输出; 5) 若发生错误,提供回滚建议(如何恢复原依赖、如何还原替换的 import)。 - 凭据与隐私:文档会用到百度地图 AK、appIdentifier 等敏感信息;确保这些凭据存放在私有配置或密钥管理系统,不要把 AK 写入公开仓库或与技能无关的日志中。技能本身并不要求你输入凭据给平台,但它假定你在本地环境中提供并管理它们。 总体结论:技能内容对开发者有用且目标明确,但因其强制/自动修改项目的指令,建议在启用自动化前采取上述防护并要求显式用户确认。

Like a lobster shell, security has layers — review code before you run it.

latestvk9761f6x2wthmrwheypf5tzr2s84dqwf

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments