Back to skill
Skillv1.0.0
ClawScan security
Traffic Ops Governance · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 14, 2026, 1:55 PM
- Verdict
- Benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- Documento de governança coerente: é um conjunto de regras e checklists para operar Meta Ads via o MCP brijr/meta-mcp, sem código, sem instalaçōes e sem pedidos de credenciais implícitos.
- Guidance
- Esta skill é essencialmente um conjunto de políticas e checklists para operar Meta Ads via o MCP brijr/meta-mcp — ela mesma não instala código nem pede credenciais. Antes de habilitar: (1) verifique a procedência/confiança do MCP brijr/meta-mcp e as credenciais que o agente usará (garanta princípio do menor privilégio); (2) confirme que seu processo de aprovação humano está implementado onde a skill espera pedir confirmações; (3) revise os limites (ex.: +10% budget) para garantir que correspondem às suas políticas internas; (4) monitore logs/auditoria quando a skill for usada, já que operações reais dependem dos tools e credenciais externos que não estão incluídos aqui.
Review Dimensions
- Purpose & Capability
- okNome e descrição alinhados com o conteúdo: todos os arquivos são políticas, checklists e matrizes de aprovação para operações em Meta Ads via o MCP brijr/meta-mcp. Nada no pacote solicita acessos ou binários extras que seriam incoerentes com uma skill de governança.
- Instruction Scope
- okSKILL.md e os arquivos de referência descrevem um fluxo claro (ler→diagnosticar→propor→validar→executar→auditar) e limitam ações sensíveis (proíbem exclusão, billing, permissões). Não há instruções para ler arquivos fora do próprio bundle, enviar dados a endpoints externos ou executar comandos arbitrários.
- Install Mechanism
- okNão há spec de instalação nem código — é instruction-only, o que reduz superfície de risco. Nada é baixado ou escrito no sistema pelo próprio skill.
- Credentials
- noteA skill não requer variáveis de ambiente ou credenciais por si só (o que é coerente para uma skill de políticas), mas seu uso prático depende do agente poder chamar as tools do MCP (por exemplo get_token_info, create_campaign). Antes de usar, confirme que os tokens/credenciais do brijr/meta-mcp fornecidos ao agente são corretamente limitados (escopo mínimo) e que o MCP em si é confiável.
- Persistence & Privilege
- okalways:false e disable-model-invocation:false (comportamento padrão): a skill não exige presença permanente nem eleva privilégios do agente, nem tenta alterar configurações de outras skills.