Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
声明目标是对已有 Skill 进行复制、变异和选择;脚本确实在本地读取 SKILLS_DIR 下的 Skill 目录、复制到 .memory 并对 SKILL.md 做简单变异,这与目的相符。注意:为了执行这些操作,脚本需要对技能目录进行读写,这是实现该功能所必需但也意味着可以修改本地 Skill 文件的副本。
Instruction Scope
SKILL.md 和脚本均限定在本地文件操作(复制、编辑 SKILL.md、将变种保存在 .memory/evolution)。没有任何指示去读取无关系统配置或外部凭据,也没有发出网络请求的真实实现。不过:SKILL.md 中示例命令引用了 copy.sh/mutate.sh/test.sh/select.sh 等文件,但实际只包含一个 evolution.sh(其内部实现了这些命令),并且 SKILL.md 的“下一步”列出了一些尚未实现的脚本/功能(比如接入测试 API),说明文档与实际实现存在不一致或未完成的地方。
Install Mechanism
这是一个 instruction-only + 单个脚本文件的包,没有安装步骤或外部下载,风险较低(不会在安装时从不明 URL 拉取可执行代码)。
Credentials
声明不要求任何环境变量、凭证或外部配置。脚本也未读取环境凭据或外部配置,仅在相对路径(SKILLS_DIR 和 .memory)上做文件操作,与其用途相称。
Persistence & Privilege
skill 不设置 always:true,也不自动替换原始 Skill。它会在 SKILLS_DIR 下创建 .memory/evolution 并写入变体与状态信息,属于本地持久化。这种持久化与其功能目的相符,但意味着运行者应当允许脚本对技能目录进行写入并注意备份/权限控制。
Assessment
这个 Skill 看起来就是一个在本地复制、修改 Skill 文件并保存变体的工具——并没有发现网络回传或要求凭据的行为,但实现有不完善之处。安装/运行前请注意:
- 备份你要被“进化”的 Skill 目录,避免意外覆盖或数据丢失(脚本目前只复制变体并不自动覆盖原始,但手动替换可能会发生)。
- 审查并在受控环境(本地沙箱或非生产目录)下运行,确认脚本行为符合预期。脚本会对 SKILL.md 做文本替换/追加,确认这些变动是可接受的。
- 注意文档与实现不完全一致(SKILL.md 提到的多个单独脚本未包含,且有“需要实现”的 TODO;测试评分为随机占位,真实评估需额外集成),因此不要期望该工具在当前版本能做自动化评估或自动部署。
- 如果你担心权限和影响范围,限制脚本运行权限(例如在非特权用户下运行,或将 SKILLS_DIR 指向一个复制出的工作目录)。
总体来说,功能和请求的权限是相称的——但在生产环境使用前请先测试并明确审查变异策略与替换流程。Like a lobster shell, security has layers — review code before you run it.
apollovk97anrftrv6868zeynyyjz4n2984fa6yevolutionvk97anrftrv6868zeynyyjz4n2984fa6ylatestvk97anrftrv6868zeynyyjz4n2984fa6yoptimizationvk97anrftrv6868zeynyyjz4n2984fa6yskillvk97anrftrv6868zeynyyjz4n2984fa6y
License
MIT-0
Free to use, modify, and redistribute. No attribution required.