Back to skill
Skillv1.0.0
ClawScan security
新闻skill · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 11, 2026, 6:24 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能的声明、运行说明和包含的脚本在功能上相符——只向外部新闻 API 请求公开数据、无需凭据或特殊安装,行为与“获取每日新闻”描述一致。
- Guidance
- 这是一个请求外部新闻 API 的简单新闻技能: - 它不会请求或存储你的凭据,运行时只会向 https://api.cjiot.cc 发出 HTTPS 请求。安装前请确认你信任该数据提供方(api.cjiot.cc)的隐私和可用性。 - 脚本会将文章中的 HTML 标签去除后输出,但如果你在别处展示富文本或自动打开链接,注意不要加载不安全的外部资源或脚本。 - 需要本地有 node(SKILL.md 也提到 curl);如果你在受限环境运行,先在沙箱中测试一次以确认行为符合预期。
Review Dimensions
- Purpose & Capability
- ok技能名称、描述和实际行为一致:通过 https://api.cjiot.cc 获取每日新闻列表和文章详情。所需二进制(node, curl)与说明匹配,且没有请求与新闻获取无关的权限或凭据。
- Instruction Scope
- okSKILL.md 指示使用 curl/node 调用公开 API,并描述了如何解析与展示数据;随附的 Node 脚本直接执行这些请求并仅打印解析后的新闻内容,未读取本地敏感文件或访问未声明的环境变量。
- Install Mechanism
- note无安装规范(instruction-only),但包中包含两份 Node 脚本,可直接运行。没有下载或执行第三方归档、也没有在安装时写入磁盘的高风险步骤。
- Credentials
- ok不需要任何环境变量或凭据,脚本仅向公开 API 发起 HTTPS 请求,所请求的权限与功能相称。
- Persistence & Privilege
- ok没有设置 always:true 或其他持久化特权;技能默认可被模型调用(平台默认),但未请求额外长期权限或修改其它技能/系统配置。