Back to skill
Skillv1.0.0
ClawScan security
accounting-and-finance · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 7, 2026, 5:01 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个“accounting-and-finance”技能套件的要求、说明和内容在功能上自洽——它只是一个文本/文档驱动的财务分析技能集,没有请求不相关凭据、不会下载或安装外部代码,也没有明显的越权行为。
- Guidance
- 这个技能集是文本/文档驱动的财务分析工具包,看起来与其描述一致且没有异常权限要求。但注意: - 如果你或平台允许代理去自动获取外部实时数据(Wind、Bloomberg、行情 API),请不要在该技能中提供或存储你的付费 API 密钥,除非你信任对应的集成与凭证管理。 - 文档包含大量 Python 计算示例;这些只是示例逻辑——在允许代理在你的环境中执行代码前,确认执行环境安全且不会访问系统文件或网络外发敏感数据。 - 该技能给出的分析仅供参考,不构成投资建议。若你会用这些技能处理公司内部或敏感财务数据,先确认数据治理与访问策略。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述(企业财务分析、估值建模、风险评估)与包含的 58 个 Markdown 技能文档及示例计算完全匹配;没有要求与其目的不符的凭据、二进制或系统路径访问。
- Instruction Scope
- okSKILL.md 仅描述如何调用各子 skill(如 /dcf-two-stage)、典型工作流、所需数据类型和计算步骤。文档建议的数据来源(年报、Wind、Bloomberg、行情)是合理引用,但没有指示去读取宿主系统敏感文件、未声明的环境变量或向非预期外部端点传输数据。
- Install Mechanism
- ok无安装规范、无可执行代码文件,属于说明文档型技能 —— 最低风险安装类型;没有从外部 URL 下载或在本地写入/执行代码的行为。
- Credentials
- ok技能声明未要求任何环境变量、凭据或配置路径。尽管文档提到可用的第三方数据源(如 Wind/Bloomberg/实时行情),但并不强制请求这些 API 密钥或托管凭据。
- Persistence & Privilege
- ok技能未设置 always:true,也未请求修改其他技能或系统配置;默认的可由模型调用(平台默认)没有与其他风险因素组合出现。