Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
拼团返利达人
v0.1.0拼团与社群团购场景的返利优化工具,帮助用户在拼团购物中获得额外返利收益,团长和团员均可受益。
⭐ 0· 38·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
描述宣称可“筛选当前高返利商品”“一键加入”“生成拼团链接”“团员管理”等需要访问平台账户、API 或执行网络操作的能力,但技能没有声明所需的任何凭据、API key、cookies、或外部服务。这与其所描述的自动化/代为操作功能不一致——要实现这些功能通常需要登录凭证或明确的数据源。
Instruction Scope
SKILL.md 只给出高层功能和输出格式,没有详细运行步骤或限制,指令模糊(例如“自动查找已开团的高返利商品,加入即享”),这赋予代理在何处、如何获取数据与执行操作上的广泛自由裁量,可能导致代理尝试进行未授权的网络访问或请求用户凭据。
Install Mechanism
无安装规范、无代码文件——这是风险较低的 instruction-only 形式。没有外部二进制下载或可执行安装步骤。
Credentials
技能要求列表为空,但其核心功能显然需要访问第三方平台(如拼多多)的账户或 API(例如生成分享链接、加入团、读取返利数据),未声明任何所需环境变量或凭据,导致权限/凭据请求与技能能力不匹配。
Persistence & Privilege
技能未设置 always:true,默认不会被强制常驻,也未声明要修改其他技能或系统配置。该项本身无额外特权需求。
What to consider before installing
该技能在功能描述上声称能为团长和团员自动查找高返利商品、生成分享链接并一键加入,但没有说明如何访问电商平台或需要哪些凭据。建议在安装前确认:
- 这个技能如何获取商品数据?是否依赖公开 API、网页抓取,或需要你提供平台账号/cookie/API token?
- 是否会要求你提交任何账号凭据或把你的 cookie/token 存储到技能中?如果会,明确要求如何存储与访问,并尽量避免将长期有效凭据交给不可信的代码。
- 是否会代表你执行“加入团”“生成并发布分享链接”等写操作?若会,要求技能在执行前征得明确同意并记录操作。
- 索取更多实现细节或源代码:包括数据来源、请求目标主机(域名)、是否遵守平台服务条款,以及隐私/日志策略。
- 在未得到明确、可审计的说明前,不要向此技能提供任意电商账号凭证或长期访问令牌;优先在受控/测试账号上验证其行为,并限制技能的自动调用权限。Like a lobster shell, security has layers — review code before you run it.
latestvk970ncerc0mmda0taxe3vpkg6183p09g
License
MIT-0
Free to use, modify, and redistribute. No attribution required.