Back to skill
Skillv1.0.0
ClawScan security
career-decision-skills · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 14, 2026, 2:32 PM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个技能只是一个结构化的职业决策方法论(纯文本指令),其声明、所需权限和运行指令在语义上自洽,没有要求额外凭据或可执行安装包。
- Guidance
- 这个技能本身看起来是良性且自洽的:它只是一个结构化的职业决策框架,没有隐藏安装或需要秘密凭据。使用前请注意两点:1) 若代理被授予访问网络搜索或第三方 TodoWrite / 飞书 等写入权限,避免在对话中泄露极敏感的个人或公司机密,因为指令会建议把收集到的信息记入外部待办;2) 如果你对自动化写入第三方有顾虑,可在交互时以“仅给建议/不要写入外部服务”的方式手动限制代理行为,或在首次调用时以交互模式确认每一步。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述(行业-公司-岗位三步法)与 SKILL.md、README 的内容一致;没有请求与职业建议无关的凭据、二进制或配置路径。
- Instruction Scope
- note指令主要说“主动搜(用搜索工具)”与在可用时使用 TodoWrite 创建待办项——这是功能上合理的,但意味着在启用外部搜索或 TodoWrite 集成时,代理可能会访问网络并将用户提供的信息写入第三方服务。若不希望向外部服务发送敏感信息,应在交互前手动确认或禁用这些工具。
- Install Mechanism
- ok无安装说明、无代码文件、无外部下载;作为纯文本/运行时指令包风险最低。
- Credentials
- ok没有要求环境变量、凭据或配置路径;所需权限与其文本目的相称。
- Persistence & Privilege
- ok没有请求始终驻留(always=false),也未要求修改其他技能或系统配置;默认的自主调用能力未被单独标记为问题。