Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
返利推广赚手
v0.1.0返利链接推广与佣金管理工具,帮助淘客和推广者生成高转化分享内容,追踪推广佣金收益。
⭐ 0· 45·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名与描述对生成推广文案、模板和运营建议的能力陈述一致;但文档同时列出“佣金收益追踪”“多渠道分发”等需要访问第三方平台数据或凭据的功能,却没有声明任何需要的环境变量、API 凭据或配置路径,导致功能声明与实际要求之间存在缺口。
Instruction Scope
SKILL.md 主要包含产品功能说明、触发词、输出格式和文案模板;没有指示读取本地文件、访问环境变量或向外部未知端点发送数据。就文本生成功能而言,说明范围清晰且自洽,但对“追踪佣金/一键分发”未给出具体可执行步骤。
Install Mechanism
无安装规范、无代码文件,这是纯说明类技能;因此不会在安装时下载或写入可执行代码到磁盘,安装风险低。
Credentials
技能不请求任何环境变量或凭据,这在安全上是良性(无需提供敏感凭据)。但同时声称能跨平台追踪佣金,现实中通常需要平台 API 密钥或账户访问权限——这种不一致提示要么技能期望用户手动粘贴数据,要么遗漏了对凭据/授权的说明。
Persistence & Privilege
没有设置 always:true,也未请求修改其他技能或系统配置;默认的自主调用权限保持不变(平台默认),没有额外持久化或权限要求。
What to consider before installing
该技能在生成推广文案和模板方面是自洽且低风险的,但在“佣金追踪”“多渠道一键分发”等需要访问第三方平台数据的功能上没有任何实施细节或凭据要求。建议:
- 在安装或启用前向技能提供者确认如何实现“佣金追踪”:它是要求你手动粘贴导出数据(CSV/Excel),还是会要求提供第三方平台的API密钥或账号授权?
- 切勿直接向不可信或未知来源提供平台API密钥、登录凭据或长期访问令牌;若必须提供,优先使用只读或导出权限的临时令牌,并考虑创建专用账号。
- 如果你希望自动化拉取佣金数据,要求技能明确列出需要哪些API权限和数据范围,并在可审计的界面中进行授权(避免直接把凭据粘贴到对话中)。
- 注意合规与平台规则:批量分发推广内容或使用返利链接做大规模推广可能违反某些平台或电商平台的政策,评估合规风险。
- 由于来源未知且无主页,若你打算长期使用或授予权限,优先选择来自可信来源、有隐私/数据处理声明且支持撤销授权的实现。Like a lobster shell, security has layers — review code before you run it.
latestvk97dt585ckgvcmhzb9wfc424an83pst6
License
MIT-0
Free to use, modify, and redistribute. No attribution required.