Back to skill
Skillv0.0.1
ClawScan security
AI情报飞书文档 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousFeb 28, 2026, 12:02 PM
- Verdict
- suspicious
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 脚本本身只是从 RSS 抓取并生成本地 Markdown 早报,但包名/描述暗示“飞书”集成——实际上没有任何 Feishu/Lark API 调用或凭据,功能与宣称不一致。
- Guidance
- 这套技能确实会抓取配置文件里的 RSS 源、生成摘要并写出本地 Markdown,但它并不会把内容发送到飞书——如果你期待自动推送到飞书/文档,需要额外实现相应的 Feishu API 集成并提供 Feishu 的凭据。确认你希望脚本在你的环境联网抓取 RSS(会访问外部站点和嵌入图片 URL),并审阅 assets/ai-news-rss.yaml 中的来源与关键词;如需自动推送到企业聊天/文档,要求作者或你自己补充安全的发布实现并明确声明所需的 API 令牌。
Review Dimensions
- Purpose & Capability
- concernSkill 名称与描述(“AI情报飞书文档”、“飞书AI情报”)暗示会把摘要推送到飞书/飞书文档,但代码和 SKILL.md 仅生成本地 Markdown 文件并建议将脚本加入 cron。没有任何 Feishu API 调用、回调 URL、或需要的环境变量/令牌声明,因此功能和宣称不一致,可能误导想要自动推送到飞书的用户。
- Instruction Scope
- noteSKILL.md 的运行指令限定为在本地/agent 环境运行 Python 脚本并读取 assets/ai-news-rss.yaml。脚本只访问列出的 RSS URL 和文章中的图片链接,解析并写出本地 Markdown。没有读取系统敏感路径、凭据或将数据发到第三方 API。注意:SKILL.md 提到可“推送”/定时,但并未给出任何推送到飞书的实现或外部 endpoint。
- Install Mechanism
- ok无安装规范(instruction-only + 附带脚本),仅需 Python 3.7+ 和 PyYAML。没有从不可信 URL 下载或在安装时写入磁盘之外的行为。
- Credentials
- ok不要求任何环境变量或凭据(requires.env 为空),脚本也没有引用未声明的环境变量或密钥。给出的配置只在 assets/ai-news-rss.yaml 中。
- Persistence & Privilege
- okflags.show: always: false(默认)。技能不会请求常驻权限或修改其他技能/系统设置;仅在运行时生成一个本地 Markdown 文件。