Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能描述为“使用 Grok API 进行搜索”,这是合理的,但元数据声明无需任何环境变量或二进制依赖,而实际 README/SKILL.md 和脚本都要求 GROK_API_KEY(和可选的 GROK_API_URL/GROK_MODEL)。这种元数据与实际需求的不一致会误导权限评估和自动安装流程。
Instruction Scope
SKILL.md 和脚本只描述通过 HTTP(S) 向指定 API 端点(默认为第三方中转 apipro.maynor1024.live)发送查询并打印返回内容,未要求读取本地敏感文件或其它系统配置。风险主要在于把查询和 API Key 发往第三方代理,可能导致数据与凭证被该代理记录。
Install Mechanism
没有 install spec(仅包含脚本),因此没有下载或写入磁盘的额外安装步骤;这降低了供给链风险。不过脚本会调用 curl 和 python3,但这些依赖未在元数据中列出。
Credentials
脚本/文档合理地需要 GROK_API_KEY(和可选 GROK_API_URL),这些与功能直接相关,但 registry 元数据未声明任何所需的环境变量。另:默认中转服务会要求用户向第三方注册并使用该服务的 API Key — 这使得凭证暴露给非官方方,存在被记录/滥用的风险。
Persistence & Privilege
技能未要求始终启用,也不修改其他技能或系统设置;没有请求持久特权或后台常驻行为。
What to consider before installing
该技能本身功能与描述一致(用 Grok 做实时搜索),但请注意:
- 元数据没有列出但脚本确实需要 GROK_API_KEY(可选的 GROK_API_URL/GROK_MODEL),以及运行需要的本地工具(curl, python3)。在安装/使用前应手动确认这些依赖并理解它们的用途。
- 默认推荐的中转端点(https://apipro.maynor1024.live)是第三方代理,任何发送到该端点的查询内容和 API Key 都可能被该服务记录或滥用。只有在信任该代理且接受其隐私/安全策略时才使用;更安全的做法是直接使用官方 xAI API 或使用你信任的代理。
- 要求作者/发布者在 registry 元数据中补充所需环境变量和二进制依赖,便于安全审查和自动化检查。
- 如果你会发送敏感查询或使用重要凭证,请不要在不可信的中转服务上使用真实 API Key;考虑创建仅限此用途、权限受限的密钥或使用官方端点并通过受信任的网络环境访问。
若需要,我可以帮你起草给发布者的询问清单或检查脚本的替代实现以避免第三方中转。Like a lobster shell, security has layers — review code before you run it.
latestvk977pb1w7p4x7yd18xakqs0m958335z4
License
MIT-0
Free to use, modify, and redistribute. No attribution required.