Back to skill
Skillv1.0.2
ClawScan security
明源云需求扩写 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 16, 2026, 9:20 AM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 说明书与运行指令在目的上是一致的——这是一个用来把需求概述展开成明源定制开发/测试要点的说明型技能,没有请求凭证或安装任意二进制,整体内部一致性良好。
- Guidance
- 这个技能在说明层面是一致且轻量的:它只用来把需求概述展开成明源定制的开发/测试要点,不需要额外凭证或安装。安装前请确认:1) 平台上若要让技能“创建企微文档”,你的宿主平台是否已有安全的企业微信集成和授权(技能本身没有声明会请求凭证);2) 避免用敏感或机密的真实数据试运行,先用示例数据验证输出格式和行为;3) 如果你需要技能主动访问第三方服务或写入企业系统,要求技能作者补充明确的凭证和调用说明;4) 若你对自动创建或写入企业文档感到不安,可限制或禁用该动作后再使用。
Review Dimensions
- Purpose & Capability
- ok技能名称、描述、SKILL.md 的执行步骤和 reference/明源定制开发设计要点.md 的内容一致:均为将需求概述展开为研发/测试要点。没有出现与此目的不相关的依赖、环境变量或二进制要求。
- Instruction Scope
- noteSKILL.md 指令限定了工作流程(判断需求类型、最多 5 个澄清问题、按指定格式输出并使用 reference 文件)。没有要求读取系统路径或敏感文件,也没有指导将数据发送到未声明的外部端点。但文件中提到“如果支持企微文档创建,优先创建为企微文档”,这一点含糊:如何判断“支持”以及使用何种凭证/API 未说明,属于实现层面的模糊点。
- Install Mechanism
- ok这是一个纯说明型技能(无 install 规范、无代码文件需要执行),因此没有安装相关风险。
- Credentials
- note技能声明不需要任何环境变量或凭证,这与其功能相符。唯一值得注意的是对“企微文档创建”的优先指示:如果运行时尝试创建企业微信文档,通常需要平台凭证或集成权限,但技能没有声明任何凭证要求——这可能意味着创建通过宿主平台的已有集成完成 (合理),或实现细节被省略(需要确认)。
- Persistence & Privilege
- ok技能未设置 always:true,也未请求修改其他技能或系统配置;默认允许模型调用(平台默认行为),这与说明型技能的用途一致,未见异常权限要求。