Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
返利提醒官
v0.1.0返利信息实时提醒工具,追踪高返商品限时活动、返利到账状态、优惠券过期预警,确保不错过任何省钱机会。
⭐ 0· 43·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能描述和触发场景合理,目标是返利与优惠提醒;但它声明支持多种外发渠道(微信服务号、短信、邮件、APP推送)且能追踪订单状态,这通常需要对外部服务或用户电商账户的访问权限,作者并未声明任何依赖或凭据。
Instruction Scope
SKILL.md 只是高层功能设计与输出样式,没有提供具体的运行指令或数据来源。为实现“返利到账通知”“订单异常预警”等功能,实施方必须访问订单/返利数据或接收回调,但说明中未说明如何获得这些数据(爬取、API、Webhook、邮箱/短信读取等),这是一种潜在的越权或隐私敏感操作。
Install Mechanism
无安装脚本、无代码文件、仅为说明文档——这降低了静态安装阶段的风险(不会在安装时自动下载或执行额外二进制)。
Credentials
registry 显示不需要任何环境变量或凭据,但技能功能明确需要:短信/微信/邮件发送凭据、可能的电商平台 API token 或用户账号访问权限等。缺少这些声明意味着要么技能无法实现其功能,要么会在运行时请求敏感凭据/访问,存在权限与隐私不匹配风险。
Persistence & Privilege
flags 显示 always:false,未要求强制常驻;允许模型自主调用为平台默认,单独并不构成额外风险。
What to consider before installing
该技能目前只是功能说明:在决定安装或授权之前,请向作者或发布方索取以下信息并核实——(1) 具体实现方式:它如何获取订单/返利数据(API、Webhook、邮箱/短信抓取、浏览器扩展、用户明文账号登录?);(2) 外发渠道的集成细节:需要哪些凭据(SMTP、短信网关、微信服务号 token),并要求只提供最小权限的短期/只读令牌;(3) 源代码或托管地址与隐私政策,查看是否有数据上报到第三方服务器;(4) 数据保留与删除策略;(5) 是否会在运行时请求额外敏感权限或写入凭据。若作者不能提供可审核的实现与最小权限凭据方案,应谨慎授予访问或避免使用。Like a lobster shell, security has layers — review code before you run it.
latestvk97146pz8xqdg0s3rrre20b3rx83pcy5
License
MIT-0
Free to use, modify, and redistribute. No attribution required.