Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
使用欧路词典OpenAPI,对生词本及笔记进行查询、修改等操作。
v1.0.1通过欧路词典OpenAPI管理生词本和笔记,实现查询、添加、修改、删除及语音评分功能。
⭐ 0· 226·0 current·1 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
SKILL.md 的接口列表、HTTP 方法与参数与‘管理生词本/笔记/语料’的描述一致——列出了查询、添加、修改、删除及语音评分等 API 调用。问题是元数据中未声明任何凭据或 primary credential,但文档明确要求使用 'Authorization: NIS {Token}'。此外 Skill 源与主页未知,降低可审计性。
Instruction Scope
运行时指令只描述对 https://api.frdic.com 的 curl 调用并使用 Authorization 头,未要求读取本地文件或访问其他第三方端点。指令包含有破坏性操作(DELETE、PATCH 等),这与技能目的相符但意味着一旦有有效 token,技能能修改或删除用户数据。
Install Mechanism
这是纯文本指令型技能(无安装脚本、无代码文件、无外部下载),因此没有写磁盘或执行远程安装的风险。
Credentials
SKILL.md 明确需要用户的 OpenAPI Token ('NIS {Token}'),但技能声明中没有要求任何环境变量或列出 primary credential —— 这是不一致且容易导致用户在运行时以不安全方式提供凭据。该 token 可用于读取和修改/删除生词本与笔记,权限范围较大,应当明确并最小化所需权限。
Persistence & Privilege
技能未设置 always:true(正常),但默认允许模型自动调用。结合技能会使用用户 API token 的事实,这意味着若授予 token 并允许自动调用,代理可能在未经额外确认的情况下对用户账户进行读写操作。
What to consider before installing
要不要安装/启用这个技能前请考虑:
- 技能需要你的欧路词典 OpenAPI Token(格式为 'NIS {token}');授予后技能可以读取、添加、修改和删除你的生词本、笔记和语料。仅在你信任技能来源并愿意让其管理这些数据时才提供。
- 元数据未声明需要凭据且没有主页/来源信息,这降低了可审计性;最好只在知道并信任作者或源码的情况下继续。
- 如果可能,避免把长期有效的全权限 token 存在全局环境或让技能长期自动使用;优先在会话中一次性输入并在用毕后撤销/重置 token。
- 考虑要求技能仅在用户明确确认后才执行有写入/删除动作(关闭自动调用或在代理设置中限制自动化权限)。
- 若不确定来源,可选择不安装或联系技能发布者索取源码/主页以进一步审查。Like a lobster shell, security has layers — review code before you run it.
latestvk97c0pm9x1w4xxvfk27p7bmj8x84jjbw
License
MIT-0
Free to use, modify, and redistribute. No attribution required.