Back to skill
Skillv1.0.0
ClawScan security
调控员 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 5, 2026, 12:32 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 这个技能总体目的是调度子代理并做独立验证,逻辑上合理,但说明文档内部存在自相矛盾并且会读写用户主目录下未声明的文件路径(含硬编码路径),这些行为在清单中没有被声明或授权,需进一步澄清与限制后才能放心使用。
- Guidance
- 要不要安装取决于你是否信任这个 skill 将对你本地工作区进行读写,以及你能否控制哪些子代理会被 spawn: - 询问作者或维护方澄清并修改 skill metadata:显式声明它要读写的配置路径(例如 ~/.openclaw/workspace/memory/*、CURSOR_SYNC.md、regressions.md)并移除/替换任何硬编码路径(/home/sora)。 - 要求去掉或解释文档中矛盾部分(“禁止直接调用 read/write” 与“必须创建 progress 文件”冲突),明确哪些写入由主调度执行、哪些由子代理执行。 - 在受信任的受限环境中先做审计性试运行(使用一个隔离的工作目录和假用户),观察它实际会创建/修改哪些文件和内容,确保不会泄露敏感数据到进度/记忆文件中。 - 确认平台上存在并可信任“verifier”和各 executor 子代理;如果 verifier 是第三方或未受控的子代理,验证流程可能成为数据泄露或篡改点。 - 如果你打算在生产环境使用,要求作者增加最小权限声明与可配置的工作目录(不使用硬编码主目录),并在 skill.json 中列出需要的配置路径/权限。
Review Dimensions
- Purpose & Capability
- note技能名称与描述(主调度、只派单不执行、由 verifier 验证)与 SKILL.md 的总体设计一致;需要 spawn 子代理并维护进度/验证记录是合理的调度职责。但技能要求在运行中读写进度/记忆/同步文件(progress、memory/YYYY-MM-DD.md、CURSOR_SYNC.md、regressions.md),这些文件访问没有在 metadata 中声明为必需的配置路径或权限,且 SKILL.md 在某处明确“禁止直接调用 exec/write/read/edit”,但后文却规定主调度员必须创建并更新 progress 文件——存在自相矛盾与职责边界模糊。
- Instruction Scope
- concern运行时指令要求读写用户工作区的多个文件并检查磁盘/权限(~/.openclaw/workspace/...、/home/sora/.openclaw/...、regressions.md 等),并要求 verifier 读取这些文件。SKILL.md 中使用了硬编码路径(/home/sora/.openclaw/...)与 ~ 展开,且没有在 requires.configPaths 或 requires.env 中声明这些访问。主调度员被禁止直接执行某些工具,但又被要求创建/更新文件,且对 sessions_spawn 的错误处理要求写入 regressions.md:这些步骤实际会修改用户文件系统并可能包含敏感内容。总体上,指令集超出了 skill.json 中声明的“无外部依赖/无权限要求”,增加了实际运行时的安全/隐私风险。
- Install Mechanism
- ok这是 instruction-only 的 skill(无安装脚本、无二进制、无代码文件),因此不会在安装阶段写入磁盘或从第三方 URL 下载代码——就安装机制而言风险较低。
- Credentials
- concernmetadata 未请求任何环境变量或配置路径,但运行时指令需要访问并修改用户主目录下的工作区文件(progress、memory、CURSOR_SYNC、regressions 等)。这种文件/路径访问应被显式声明为所需配置路径或权限。另有硬编码用户路径 /home/sora,表明作者假定特定环境或用户名,这在多用户/生产环境中不合比例且容易出问题。
- Persistence & Privilege
- note技能没有设置 always:true,也不修改其它技能配置。但其运行要求会写入跨会话的 CURSOR_SYNC.md 与 memory/YYYY-MM-DD.md,这意味着该技能在运行时会修改平台的跨会话同步文件/历史记录——这是合理的调度器功能,但应当被明确列出和审查(谁能读写这些文件、内容会包含什么敏感数据)。