Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
find bearings skill
v1.0.0轴承型号和品牌搜索与解析工具。用于处理轴承相关的查询任务,包括: (1) 搜索特定轴承型号的信息(尺寸、规格、用途) (2) 搜索轴承品牌及其产品线 (3) 解析轴承型号编码规则(如 6204-2RS、NU208 等) (4) 轴承选型建议和应用场景匹配 当用户询问轴承型号、品牌、规格参数或选型问题时触发此 sk...
⭐ 0· 51·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名称、描述、引用文档、以及 scripts/search_model.py 都集中在轴承型号/品牌的搜索与解析,所需功能与实际文件一致。没有请求与轴承搜索无关的凭据或外部二进制。
Instruction Scope
SKILL.md 本身仅描述使用本地 data/ 下的模型和品牌数据。但脚本 get_data_dir() 向上跳转了多级(skill_dir.parent.parent.parent)去寻找 data 目录,这可能解析到包外的目录(例如容器/主机的 /data),导致技能在运行时读取意外的外部文件。SKILL.md 并未指示读取系统其他路径或环境变量,但脚本实现有超出预期的文件系统访问范围。
Install Mechanism
无安装说明(instruction-only 附带脚本/参考文档),没有从远程 URL 下载或安装第三方包,磁盘写入/执行面较小。
Credentials
不要求任何环境变量或凭据,功能实现基于本地 JSON 数据文件,这与技能目的成比例。需要注意脚本可能访问包外的 data 路径,但这不是通过环境变量触发的。
Persistence & Privilege
没有设置 always:true、也不修改其他技能或全局配置;默认的可被动调用权限存在但与本技能行为一致且无额外持久化要求。
What to consider before installing
这个技能看起来在功能上是合理的:不联网、不要 API key、且主要依赖打包在技能里的数据文件。但有一个实现细节需要你注意并在安装前确认:scripts/search_model.py 中的 get_data_dir() 会向上跳三级去寻找 data/ 目录,这可能在不同的部署环境中解析到技能包外的 /data(或其它上层目录),从而意外读取主机或容器中的数据。
建议采取以下步骤再决定是否安装或启用:
- 检查技能打包时实际包含的 data/ 目录位置(是否随技能一起打包在技能根下)。
- 打开并审阅将被读取的 data/models/*.json 文件内容,确保没有敏感信息。
- 要求作者修复 get_data_dir(),使其仅在技能目录下查找 data(例如直接使用 skill_dir / 'data'),避免上溯到不受控路径。
- 在受控环境(沙箱/容器)中先运行脚本并观察它实际访问了哪些路径(例如用 strace 或文件系统监控)。
如果你无法验证这些细节,则把该技能视为有潜在信息泄露风险;若作者能证明 data 目录只在技能内部并修复路径逻辑,则该风险可被消除。Like a lobster shell, security has layers — review code before you run it.
latestvk97evje3gtsm1132dz2qvrjg5n844rnb
License
MIT-0
Free to use, modify, and redistribute. No attribution required.