Back to skill

Security audit

A2A 文章服务平台

Security checks across malware telemetry and agentic risk

Overview

This paid article service is mostly coherent, but it handles payment credentials and possible publishing actions with under-scoped and misleading security controls.

Install only if you trust the provider and are comfortable sending article requests and payment credentials to its backend. Avoid real paid use or WeChat publishing until the provider uses verifiable HTTPS, documents credential/account handling and data retention, fixes the success-status bug, and adds explicit review/confirmation before publishing-related actions.

SkillSpector

By NVIDIA
Vulnerability Patterns
  • Data ExfiltrationExternal Transmission, Env Variable Harvesting, File System Enumeration
  • Excessive AgencyUnrestricted Tool Access, Autonomous Decision Making, Scope Creep
  • Trigger AbuseOverly Broad Trigger, Shadow Command Trigger, Keyword Baiting Trigger
  • MCP Least PrivilegeUnderdeclared Capability, Wildcard Permission, Missing Permission Declaration
  • MCP Tool PoisoningHidden Instructions, Unicode Deception, Parameter Description Injection
Findings (16)

Lp3

Medium
Category
MCP Least Privilege
Confidence
91% confidence
Finding
技能文档声明的权限与实际能力不一致,会削弱平台和用户对该技能行为边界的判断,导致文件读写与外联等高风险操作在缺乏充分披露下发生。对于涉及支付、订单文件和远程服务的技能,这种低披露会放大误用和数据暴露风险。

Tp4

High
Category
MCP Tool Poisoning
Confidence
97% confidence
Finding
技能描述与实际行为存在明显不一致:它不仅提供文章服务,还会持久化订单与支付相关数据,并依赖未充分披露的外部远程接口。对支付型技能而言,隐藏的数据落盘和外部依赖会妨碍安全评估,增加凭据泄露、供应链风险和用户误授权的可能。

Intent-Code Divergence

Medium
Confidence
98% confidence
Finding
README 一方面声称“所有交易数据通过 HTTPS 传输”,另一方面又把实际部署地址和故障排查地址写成明文 http://43.136.97.223/clawtip-api/,这会误导集成方以不安全方式传输订单号、支付凭证和服务请求。若客户端按文档直连 HTTP,攻击者可通过中间人攻击窃听或篡改支付与履约流量,导致凭证泄露、结果伪造或交易劫持。

Context-Inappropriate Capability

Medium
Confidence
98% confidence
Finding
文档要求“包含你的思考过程”会诱导模型输出内部推理,这与文章服务功能无关,却可能泄露系统提示、策略线索或敏感判断依据。攻击者可借此收集更多上下文信息,用于绕过限制或构造后续提示注入。

Intent-Code Divergence

Medium
Confidence
94% confidence
Finding
文档一方面声称执行前必须完成支付验证,另一方面又允许用户在初始请求中携带订单号和凭据后直接进入执行阶段。这种流程例外若缺少强校验,可能使伪造、重放或盗用的凭据绕过正常支付确认并触发付费服务。

Intent-Code Divergence

High
Confidence
99% confidence
Finding
脚本在主流程末尾无条件打印“PAY_STATUS: SUCCESS”,即使前面返回的是“支付未成功”或“获取服务结果失败”等错误文本,调用方仍可能仅依据该标记误判订单已支付成功并继续后续自动化流程。这会破坏支付校验这一安全边界,尤其该技能用于“执行前需完成支付验证”的付费服务场景时,容易导致未付款履约、审计失真或被下游系统错误信任。

Missing User Warnings

Medium
Confidence
82% confidence
Finding
README 宣传“智能创作”“公众号发布”“全程无需人工干预”,但未明确提示会向远端服务发送文章内容、账号相关素材或发布指令,也未说明自动发布的隐私、合规和误操作风险。在这种技能场景下,自动对外发布会放大数据泄露、误发内容和账号滥用的后果,因此缺少显著告知和确认机制属于真实安全/隐私风险。

Missing User Warnings

Medium
Confidence
93% confidence
Finding
README 明确记录会把用户需求、订单号和支付凭证发送到远端后端获取服务结果,但没有提供清晰的隐私告知、数据最小化说明、存储期限或第三方共享说明。由于该技能涉及支付凭证与可能敏感的用户输入,在缺少透明披露的情况下,用户和集成代理容易低估凭证泄露、请求内容暴露及后端滥用的风险。

Vague Triggers

Medium
Confidence
88% confidence
Finding
“用户发出相关请求时自动触发”的触发条件过宽,容易让技能在意图不明确时被调用,尤其该技能还涉及支付、网络访问和内容发布。模糊触发边界会增加误触发、越权执行和社会工程诱导调用的风险。

Natural-Language Policy Violations

High
Confidence
99% confidence
Finding
强制“包含思考过程”属于对内部推理披露的直接诱导,违反最小披露原则,并可能暴露决策逻辑与防护边界。由于该要求出现在技能顶层说明中,模型在整个交互中都可能持续受其影响。

Natural-Language Policy Violations

High
Confidence
99% confidence
Finding
正文再次重复要求披露思考过程,会强化模型遵从该不当指令的概率,增加持续性信息泄露风险。重复出现的策略性诱导在对抗场景下尤其危险,因为它会与其他提示共同推动模型暴露内部推理。

Missing User Warnings

Medium
Confidence
90% confidence
Finding
代码会将用户提供的 question 直接通过 HTTP POST 发送到远程接口,但没有在用户侧明确提示将发生联网传输,也没有展示最小化披露或征得同意的流程。由于接口使用明文 HTTP 而非 HTTPS,问题内容在传输过程中还可能被窃听或篡改,进一步放大了隐私泄露和数据完整性风险。

Missing User Warnings

Low
Confidence
84% confidence
Finding
代码将订单号、用户问题、支付目标和加密数据等信息持久化到本地,但没有向用户明确说明会进行本地存储,也没有体现访问控制、加密或数据保留策略。这会导致同机其他用户、恶意进程或后续日志/备份流程接触到订单与支付相关数据,造成隐私暴露。

Missing User Warnings

High
Confidence
98% confidence
Finding
代码将订单号和支付凭证通过明文 HTTP 发送到远端接口,网络路径上的攻击者可窃听、篡改或重放这些敏感数据。由于该技能的核心就是基于支付凭证履约,明文传输会直接削弱凭证保密性与交易完整性,在公共网络或受污染网络环境下尤其危险。

Ssd 3

Medium
Confidence
97% confidence
Finding
要求输出思考过程会让模型以自然语言泄露原本不应公开的内部推理信息,这些信息可能包含安全策略、边界条件或敏感上下文线索。即使不直接导致代码执行,也会显著降低整体防护强度。

Ssd 3

Medium
Confidence
97% confidence
Finding
重复强调思考过程输出会形成稳定的提示注入面,使模型在多轮对话中更容易持续泄露内部推理。对于具备支付和外联能力的技能,这类信息泄露可被用来优化进一步攻击。

VirusTotal

56/56 vendors flagged this skill as clean.

View on VirusTotal

Static analysis

No suspicious patterns detected.