ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Income Lab 收入实验室

v2025.4.15

收入实验与执行系统。帮助用户系统地尝试各种合法赚钱方式、记录实验过程、分析效果、持续优化策略。当用户想要赚钱但不知道从何开始、需要跟踪多种赚钱尝试的效果、想要建立持续收入流、需要执行提醒和复盘时使用。

0· 689·0 current·0 all-time
by@shenmeng
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
CryptoCan make purchasesRequires sensitive credentials
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Pending
View report →
OpenClawOpenClaw
Suspicious
medium confidence
!
Purpose & Capability
技能的主要目的(收入实验、追踪与复盘)与大部分代码(experiment_tracker.py、weekly_reporter.py、references 等)一致。但元数据 (_meta.json) 声明必须启用 SkillPay 计费并要求 SKILLPAY_API_KEY 与 SKILLPAY_USER_ID,而注册表级别的 'Required env vars' 却显示无任何环境变量——这是不一致的。此外 payment.py 中直接硬编码了一个 BILLING_API_KEY(明文密钥),这与‘只需用户提供自己的支付余额’的表述不成比例或多余。
Instruction Scope
SKILL.md 的运行说明主要是本地 CLI 脚本(初始化、添加实验、记录、生成周报等),这些脚本只读写用户主目录下的 ~/.income-lab 数据目录(范围合理)。不过文档顶部强调‘已接入 SkillPay 付费系统’并提示用户保证余额,且仓库包含 payment.py 会向外部域 skillpay.me 发起网络请求。SKILL.md 并未明确说明何时或如何在运行时调用 payment.py(或由平台自动调用),导致运行时行为不够透明。
Install Mechanism
无安装说明(instruction-only + 附带脚本),没有远程下载或复杂安装步骤,依赖仅在 requirements.txt 中列出常见数据处理库(pandas/numpy/matplotlib 等)。没有高风险的外部安装来源或压缩包提取。
!
Credentials
_meta.json 指示 payment.api_key_env 为 SKILLPAY_API_KEY、user_id_env 为 SKILLPAY_USER_ID 且 required=true,但注册信息显示“Required env vars: none”。此外代码并没有使用 SKILLPAY_API_KEY 环境变量来读取 API 密钥,而是把密钥硬编码在 payment.py 中,同时 verify_payment 读取 SKILLPAY_USER_ID(用于 user_id)。这些不一致表明对凭据的要求和处理不透明且不成比例(明文秘密、外部计费调用)。
Persistence & Privilege
技能未要求 always:true,也没有修改其他技能或系统范围配置。脚本持久化仅限于用户主目录下的 ~/.income-lab(个体数据存储),权限范围适中。唯一外部权限是 payment.py 发起的网络请求用于计费。
What to consider before installing
简明建议: - 风险点:仓库包含对外计费集成 payment.py,会向 https://skillpay.me 发起请求;代码中有一个硬编码的 BILLING_API_KEY(明文密钥),而元数据又声明需要 SKILLPAY_API_KEY/SKILLPAY_USER_ID,但注册信息显示无必需环境变量——这是重大不一致且可能泄露或滥用凭据。 - 在安装/运行前考虑: 1) 要求作者或发布方澄清计费流程:哪些环境变量是必需的,平台是否会自动调用 payment.py,以及硬编码的 API Key 是否合法且应被移除。最好让作者改为通过环境变量或平台密钥管理传递 API Key,并删除仓库中的明文密钥。 2) 如果你不信任 skillpay.me 或作者,请不要提供任何真实支付凭据;在沙箱或隔离环境中运行脚本并观察是否有外部网络调用。 3) 如果你已使用该仓库中的密钥或真实凭据,考虑更换/撤销这些密钥并联系支付提供方确认异常。 4) 从功能角度,脚本其它部分主要在本地读写 ~/.income-lab,风险较小——但若计费校验在平台层面被自动触发,可能会导致外部网络和账户相关交互。 總结:功能上大体一致但有所不透明与凭据风险,建议在确认计费实现与移除/替换硬编码密钥之前,将其视为有隐私/凭据风险的“可疑”技能并谨慎使用。

Like a lobster shell, security has layers — review code before you run it.

latestvk975p523h9z7j8sdj21sy6nfjx84w6tr

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments