Back to skill
Skillv1.0.0
ClawScan security
销售录音诊断专家 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 6, 2026, 5:42 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能声明的用途(对销售录音/会议纪要做深度诊断)与它的运行说明一致;它只读取用户指定的文档路径并写回报告,没有要求额外凭证或安装外部代码。
- Guidance
- 这个技能本身是内聚且合理的,但它会访问并读取你家目录下特定的文档库并把报告写回磁盘——这些文件可能包含客户个人信息或商业机密。安装/使用前请考虑: - 确认 ~/Documents/小龙虾知识库/ 下的文件是你愿意让技能读取的;如果不希望全部读取,先把要分析的文件拷贝到受控目录并只在那运行技能。 - 如果你的“录音”是音频二进制文件而非文本转录,技能假定能读取“录音原文”可能不成立;最好先把音频转成文字稿并提供文本。 - 检查生成报告要保存到的路径(~/Documents/小龙虾知识库/素材库/经验库/销售诊断报告/),以免覆盖重要文件;考虑备份或指定专用子目录。 - 虽无网络/凭证要求,但请确保不会把敏感数据外发;如果你担心自动化访问,限制技能只在需要时由你手动调用。 如果你能提供更多信息(比如:实际文件是转录文本还是音频、是否允许读取整个目录,或需要禁用自动调用),我可以给出更具体的风险减缓建议或配置建议。
Review Dimensions
- Purpose & Capability
- ok技能名与描述是“销售录音/会议纪要深度分析”。SKILL.md 明确要求读取用户文档库下的客户档案和录音/纪要,并输出诊断报告,所需操作与目的相符,未请求与销售分析无关的外部凭据或工具。
- Instruction Scope
- note说明文件会搜索并读取特定用户目录(~/Documents/小龙虾知识库/...)下的档案和“录音原文”,然后生成并保存诊断报告。这与技能目的直接相关,但需要注意:它会访问用户本地文档并读取完整内容——这是高度敏感的个人/商业数据访问,用户应确认这些路径和文件是否可以被AI访问(尤其包含客户隐私或敏感信息时)。此外,SKILL.md 假定能“读取录音原文”,如果实际是二进制音频文件而非文字转录,能力/预期可能不匹配。
- Install Mechanism
- ok这是纯指令型技能(无安装规范、无代码文件),因此不会在目标主机上下载或执行外部代码,安装风险最低。
- Credentials
- ok技能不要求环境变量、密钥或外部凭据(primaryEnv: none),所需权限仅限读取/写入指定用户文档路径,与描述目的成比例。
- Persistence & Privilege
- ok技能未设置 always:true,也没有试图修改其他技能或系统配置。默认允许模型调用(disable-model-invocation:false)是平台常态,但并未单独增加权限。