Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
蜜源返利助手
v0.1.0蜜源社交电商CPS导购工具,以淘宝天猫为核心平台,提供优惠券查找和返利推广服务。
⭐ 0· 38·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
SKILL.md 声称具备“返利查询、佣金追踪、提现、团队管理”等功能,这些功能通常需要访问淘宝/天猫账户、返利平台或支付/提现接口(即账号凭证或平台 API token)。然而注册元数据和 SKILL.md 未声明任何所需环境变量、凭证、API 端点或登录步骤——这与宣称的能力不匹配,表明实现细节被省略或不透明。
Instruction Scope
这是一个纯文档/声明式的 SKILL.md:没有具体运行时指令、外部 API 调用、文件路径或命令行操作被指定。优点是当前没有明确的文件/环境访问。但内容非常模糊,给代理留有大量自由裁量(例如如何获取订单信息、如何执行提现),这种模糊性可能导致在运行时请求敏感数据或引导用户提供凭证。
Install Mechanism
没有安装规范、没有代码文件、纯说明书式技能。因为不写磁盘也不拉取外部二进制,这降低了初始攻击面。
Credentials
宣称的功能(订单追踪、提现、团队管理)通常需要敏感凭证(第三方 affiliate token、淘宝/天猫登录凭证、支付账号等),但 requires.env/primaryEnv 都为空。缺乏对需要哪些凭证的声明是不成比例的:若实现真实需要这些凭证,开发者应在元数据中声明并说明用途与权限范围。
Persistence & Privilege
技能未设置 always:true,也未声明会修改其他技能或系统配置。默认允许模型自主调用(平台默认)——这本身不是单独的风险,但结合上述不透明实现,用户应留意技能在交互中可能会主动请求敏感信息。
What to consider before installing
该技能目前只是功能宣言,缺乏实现细节和凭证需求说明。建议:
- 在提供任何账号凭证(淘宝/天猫登录、cookie、第三方返利/联盟 token、支付账号等)之前,要求开发者或发布方公开实现细节(如何调用 API、凭证如何存储/传输、是否使用第三方服务)。
- 切勿在技能对话中直接粘贴账号密码或长期凭证。优先使用可撤销的短期 token 或只读授权(若平台支持)。
- 如果你需要订单追踪或提现功能,要求查看代码或一个可信的隐私/安全说明,或者使用官方/有信誉的第三方插件。纯说明型技能本身风险较低,但功能声明与所需权限不一致时要保持警惕。
- 若无法获得满意的透明度,将其标记为不信任并避免用于涉及资金或个人账户的操作。Like a lobster shell, security has layers — review code before you run it.
latestvk97e0459mkpeqgd6kv9fm2qpj583vtsh
License
MIT-0
Free to use, modify, and redistribute. No attribution required.