ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

小程序推广渠道查询

v1.1.0

友盟小程序推广渠道查询 Skill。当用户想了解小程序的获客来源、渠道/活动效果、场景分析时使用。触发词:获客来源、推广渠道、推广活动、场景分析、渠道排行、活动效果、场景值。注意:仅支持小程序/H5/小游戏应用。

0· 58·0 current·0 all-time
byUmeng+@squall0925
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
Requires sensitive credentials
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Pending
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
名字与描述指向“友盟小程序推广渠道查询”,包内包含友盟 OpenAPI 的 Python SDK 与 scripts/mini_channel.py,功能实现所需的 SDK 与请求类存在,能力与目的相符。
Instruction Scope
SKILL.md 的运行步骤、CLI 参数映射与输出说明清晰,并限定为小程序/H5/小游戏;它只描述与友盟 API 互动的正常操作。但说明中要求读取配置文件或环境变量(--config、UMENG_CONFIG_PATH、umeng-config.json),这在 metadata 的 required env/config 声明中未列出(不一致)。另外我未能看到 scripts/mini_channel.py 的完整源码内容以核实是否会访问或发往除友盟外的外部端点。
Install Mechanism
无安装说明(instruction-only),但包里包含 Python SDK 源码及脚本,意味着不会在安装时自动下载外部未知二进制;风险较低。不过包含大量第三方 SDK 源码,用户应注意在运行时会执行这些本地 Python 文件。
!
Credentials
metadata 未声明任何必需的环境变量或凭据,但 SKILL.md 明确依赖配置文件或环境变量(UMENG_CONFIG_PATH 或 umeng-config.json)来提供友盟的 appkey/secret(或 accessToken)。这意味着运行该脚本需要访问敏感凭据,但清单没有把凭据列为“required env”,存在信息不对称;在使用前应确认凭据的存放位置、范围和最小权限策略。
Persistence & Privilege
flags 显示 always:false 且允许模型自治调用(默认),没有请求修改其他技能或系统范围配置的迹象。无持久化安装流程或自动创建系统级别条目的声明。
What to consider before installing
这个技能看起来确实是为查询友盟(Umeng)小程序渠道数据而写:代码包包含友盟 OpenAPI 的 Python SDK 和主脚本 scripts/mini_channel.py,SKILL.md 也描述了如何用 CLI 参数调用。但有两点你在安装/运行前务必确认: 1) 凭据位置与权限:SKILL.md 提到可通过 --config 或环境变量 UMENG_CONFIG_PATH 指向 umeng-config.json 来提供凭据,但 registry metadata 没有把任何凭据列为“required”。在运行前检查 umeng-config.json 的内容(appkey/secret 或 accessToken),只使用具有最小权限的只读/查询型凭据,并避免把敏感密钥放在公开或共享位置。 2) 检查 scripts/mini_channel.py:在本次审查中未能完整查看该脚本的源代码(清单列出但内容被省略),请在本地或在安全环境下打开并审查脚本,确认它只向友盟官方域名(如 gateway.open.umeng.com 或官方 API)发出请求,不会把数据发到其它第三方或把凭据回传。注意检查是否有硬编码的外部 URL、网络 POST 到非友盟域、或将日志/响应写入网络位置的行为。 如果你无法审查代码,建议在受限网络环境或沙箱中运行,或要求发布者补充明确的凭据需求与隐私说明。

Like a lobster shell, security has layers — review code before you run it.

latestvk97f8ddbncdd31j109dynm62m984wcgk

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments