ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

超能文献-AI文档翻译

v1.0.0

超能文献(Suppr)文档翻译 API。当用户需要翻译文档(Word、Excel、PowerPoint、PDF、TXT、HTML)、查询翻译状态或管理翻译任务时激活。

0· 89·0 current·0 all-time
byJianguang Zheng@zjg678
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能声明是一个文档翻译 API 的集成,SKILL.md 给出了具体端点和工作流,功能声明与所需的 API 调用总体一致. 然而,文档明确要求 Authorization: Bearer <your_api_key>,但技能元数据没有声明任何必需的环境变量或主凭证(primary credential),这是不一致的——合理的翻译集成应声明需要的 API key 或指导如何提供它。
!
Instruction Scope
SKILL.md 指示如何创建任务(接受本地文件上传或 file_url)、轮询状态并下载结果,这与翻译目的相关,但文档没有明确如何由代理安全地获取或存储 API key,也未说明当用户希望上传本地文件时代理应如何访问用户文件(直接读取、提示上传、或仅接受 URL)。此外 file_url 模式会让对方服务去抓取用户提供的 URL:如果用户提供含有敏感信息的内部 URL,可能导致数据外泄;文档没有提醒或限制。
Install Mechanism
这是 instruction-only 的技能,没有安装脚本或外部下载,因而没有写磁盘或执行第三方二进制的风险。
!
Credentials
文档要求在请求中使用 Bearer API key,但技能元数据没有列出任何 required env vars 或 primary credential;这种遗漏可能是疏忽,也可能导致用户直接把密钥粘贴到会话中(不安全)。除此之外,技能未请求其他无关凭据,范围上并不过度,但关键凭证管理不明确。
Persistence & Privilege
技能没有设置 always:true,也没有声明修改其他技能或系统配置的能力。默认的自动调用能力未被滥用性地放宽。
What to consider before installing
要点和建议: - 该技能看起来确实包装了一个名为 Suppr 的外部翻译 API,但元数据中没有声明需要的 API key(SKILL.md 却要求 Authorization: Bearer),这是明显的不一致——在安装或使用前向技能作者确认如何安全提供 API key(应通过技能配置或平台的秘密管理,而不是在聊天中明文粘贴)。 - 源码/主页未知且未提供隐私/服务条款链接:在把敏感或私有文档交给此服务前,先确认供应商信誉与数据保留策略。 - 如果使用 file_url 模式,注意外部服务会去抓取给定的 URL:不要提供含有内部/敏感信息的 URL,优先使用受控上传且确认传输和存储加密。 - 如果你不信任此技能来源,先用非敏感示例文档做测试,或者要求作者在技能元数据中补充 required env/credential 声明与主页/隐私说明。

Like a lobster shell, security has layers — review code before you run it.

document-translationvk9700wayzy3kzyb58wjnm75k55848b0phtml-translationvk9700wayzy3kzyb58wjnm75k55848b0platestvk9700wayzy3kzyb58wjnm75k55848b0ppdf-translationvk9700wayzy3kzyb58wjnm75k55848b0ppowerpoints-translationvk9700wayzy3kzyb58wjnm75k55848b0ptranslationvk9700wayzy3kzyb58wjnm75k55848b0pword-translationvk9700wayzy3kzyb58wjnm75k55848b0p

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments