Back to skill
Skillv1.0.0
ClawScan security
饮食记录 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 14, 2026, 5:47 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该 Skill 的声明、运行指令和包含的脚本在功能和权限上相互一致:它仅使用本地食物数据库、在技能目录下读写 JSON 文件以记录和统计饮食,没有请求额外凭据或外部安装步骤。
- Guidance
- 这是一个本地化的饮食记录与营养计算技能;在安装前请注意: - 手动从仓库(SKILL.md 提供的 GitHub 链接)下载 references/food_data.json 并检查来源与内容(JSON 文件可以打开审查)。注意仓库拥有者(sj13818161942)并非知名组织,若有疑虑请寻找原始数据源 LuckyHookin/foodwake 并核对一致性。 - 脚本不会联网也不请求凭据,但会在技能目录下创建/写入 references/meal_log.json(包含个人饮食数据);如果在共享设备上使用,请考虑文件权限和隐私备份/删除策略。 - 确认 Python3 可用(脚本使用标准库,无额外依赖);如需进一步放心,可在沙箱环境中先运行并查看生成的文件与输出。 - 数据为 2020 年快照且为估算值,不应作为医学诊断依据。若需要更权威/本地化的营养数据,替换 food_data.json 为可信来源或手动校验数值。
Review Dimensions
- Purpose & Capability
- ok名称与描述(饮食记录与营养分析)与所含脚本和说明一致:脚本仅需要本地的 references/food_data.json 并将记录写入 references/meal_log.json,所请求的功能(解析食物、计算营养、存储/统计)均由脚本实现。
- Instruction Scope
- okSKILL.md 明确要求手动下载 food_data.json 并在技能目录下存放;运行流程只涉及读取该数据文件、匹配/计算营养素、向本地 meal_log.json 追加记录,以及在无法匹配时向用户提问。没有指示读取系统范围的凭据、环境变量或将数据发送到未声明的外部端点。
- Install Mechanism
- ok没有 install spec(instruction-only + 附带脚本),因此不会自动下载或执行外部二进制;唯一的网络建议是用户手动从 GitHub 下载 data 文件,这本身是可审计的。
- Credentials
- ok不要求任何环境变量、凭证或系统配置路径。所需的资源(本地 JSON 数据文件和技能目录)与技能目的直接相关且比例合适。
- Persistence & Privilege
- ok不设置 always:true,默认可被用户调用;唯一的持久性是创建/写入自身目录下的 references/meal_log.json,这是技能应有的行为,未修改其他技能或系统级配置。