Back to skill
Skillv1.0.0
ClawScan security
a-share-hypothesis-intake · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 18, 2026, 4:15 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个技能的说明、要求和运行指令在功能上是一致的:它用来把长篇宏观/新闻材料拆成可验证的假设并映射到 A 股传导链,没有要求额外凭据或可疑安装行为。
- Guidance
- 总体上这是一个内部一致的“观点拆解到 A 股传导”工具。安装前请考虑: - 该技能会建议使用最新网络/市场数据和“市场扫描/动作路由”等其他技能;如果你打算把它与能访问真实市场数据或下单的技能联动,先审查那些技能需要的 API 凭据与权限。 - 虽然本包不请求凭据或下载代码,但在运行时代理可能会访问网络资源或调用第三方技能,确保这些外部数据源和被调用的技能可信。 - 如果你不希望技能在未经你同意时调用外部市场扫描或交易路由,限制其自动调用能力或在使用时明确告知/授权。
Review Dimensions
- Purpose & Capability
- ok名称与描述(把长材料拆成事实/推断/数据缺口并映射到 A 股)与 SKILL.md 中的步骤完全一致;没有声明或请求与此目的不相关的凭据、二进制或配置路径。
- Instruction Scope
- noteSKILL.md 明确规定把材料切分、分类、提炼传导链并优先验证时间敏感项。它还建议“做网页或数据验证”与“优先调用市场扫描/动作路由”等操作——这些扩大了执行时可能需要访问网络和其它技能/数据源的范围,但文档没有指定具体外部端点或要求凭据,行为在该技能目的范围内,但会依赖其它技能或外部数据。
- Install Mechanism
- ok这是 instruction-only 的技能,没有 install 规范、可执行下载或代码文件需要写入磁盘,风险最低。
- Credentials
- ok清单中没有要求任何环境变量、密钥或配置路径。SKILL.md 提到可能要验证网络上最新信息,但并未请求未声明的凭据;如果后续集成市场数据或交易路由,相关凭据应由那些子技能声明并单独评估。
- Persistence & Privilege
- okflags 表示 always: false(默认),技能不会被强制常驻或要求修改其它技能/系统配置;技能允许模型调用(平台默认),单独这一点不是问题。