Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
TopCashback返利助手
v0.1.0TopCashback高返利购物平台工具,英国起家的全球返利平台,以高于同类平台的返利比例著称,覆盖4000+商家。
⭐ 0· 43·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名称和描述与“返利查询助手”目的相符,但声明的能力(例如“4000+商家”“同类最高返利”)没有任何实现细节或所需凭据/API,显得过于理想化且未说明如何获得这些数据。
Instruction Scope
SKILL.md 只包含触发词、能力宣称和输出格式,没有说明如何查询返利、哪个 API/网站被调用、如何验证数据或如何生成返利链接。这样会让代理凭空生成数值或链接(幻觉风险),没有约束也可能泄露/请求不应有的用户信息。
Install Mechanism
无安装规范、无代码文件、是纯说明性文档——从安装角度风险低(不会在本地写入或执行下载代码)。
Credentials
声明不需要环境变量、二进制或凭据——与当前文档一致。不过由于缺乏数据源说明,实际实现时可能需要第三方 API 密钥或爬虫权限;这应在技能声明中明确。
Persistence & Privilege
技能未设置 always:true,也未请求特殊持久化或修改其他技能配置。允许模型自主调用是平台默认行为;此项本身无额外风险。
What to consider before installing
这个技能目前只是一个格式与能力承诺的模板,但没有说明从哪里获取返利数据或如何生成链接。风险点包括:代理可能会编造返利百分比或生成无效/恶意链接;实现者可能后续要求 API 密钥或用户支付/账户凭据。建议在安装前要求作者补充:1) 明确数据来源(官方 API / 官方站点 / 第三方数据库),并说明是否会爬取网页;2) 列出所需环境变量或凭据及其用途;3) 增加数据验证和来源引用以避免幻觉;4) 禁止技能请求用户的登录凭据或支付信息;5) 如果允许自主调用,限制其权限并在测试环境中先审查输出。若不能得到这些信息,把技能视为未完成/不可信并谨慎安装。Like a lobster shell, security has layers — review code before you run it.
latestvk97dq3b3e352s90dppha9v5ass83qd5z
License
MIT-0
Free to use, modify, and redistribute. No attribution required.