Back to skill
Skillv1.0.0
ClawScan security
实时竞品监控虾 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 9, 2026, 9:01 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- Skill 的描述、运行说明与包含的脚本在功能上是一致的:当前为模拟采集与本地 SQLite 存储的竞品监控工具,未请求额外凭据或下载远程代码。
- Guidance
- 要点与建议(中文): - 当前为“演示/模拟”实现:scripts/price_monitor.py 使用 simulate_fetch() 产生假数据,安装/运行这个包本身不会进行网络爬取或外部通信。只有在你或开发者把 simulate_fetch 替换成真实爬虫逻辑后,才会产生网络/代理/凭据相关风险。 - 如果要接入真实爬虫,请在部署前明确并审查:目标平台的 robots/服务条款、请求频率限制、代理池与 UA 策略、cookie 管理、以及是否需要登录凭据。不要在代码中硬编码凭据或把敏感 token 写进仓库/数据库明文。 - 消息推送(飞书等):SKILL.md 假定存在一个 message 工具来发送预警。实现推送时会需要 webhook 或 token,请确保这些凭据的最小权限、短期有效性,并存放在受管控的秘密存储中(不要放在代码/CSV里)。 - 数据存储与权限:脚本会在 data/competitor_monitor.db 写入数据,确认运行环境中文件权限(避免泄露给不应访问的用户)。定期备份或清理历史数据以满足合规需求。 - CSV 与输入校验:导入 CSV 前请校验字段并防止 CSV 注入(例如不要把公式=... 直接导入会导致在打开表格时执行)。 - 合规与法律:大规模爬取商业平台数据可能违反平台规则或法律,部署前咨询法务/合规并遵循平台采集规则与频率限制。 总体结论:按当前仓库内容判断,该 Skill 在“内部一致性”上是良性的(benign)。主要注意点在于:如果你或他人将演示爬虫替换为真实采集器或添加推送集成,必须在凭据管理、网络策略与合规性上做额外审查。
Review Dimensions
- Purpose & Capability
- okSkill 名称/描述(竞品价格、上新、评价监控)与仓内文件一致:有 SKILL.md、平台采集规则、分析与基准参考文档,以及实现核心逻辑的 scripts/price_monitor.py。没有要求与描述不符的环境变量、二进制或外部权限。
- Instruction Scope
- noteSKILL.md 明确以 simulate_fetch() 做演示并提示“实际部署需替换为真实爬虫”。当前运行说明只读写本地 CSV、参考文档和 SQLite 数据库、并建议用平台消息工具推送预警(示例为飞书)。注意:一旦开发者把 simulate_fetch 替换为真实爬虫,会引入网络请求、代理、cookies 管理和可能需要的第三方凭据——这些都不在当前声明中,需要在部署前明确和审查。
- Install Mechanism
- ok无安装规范(instruction-only + 一个 Python 脚本),不会从不受信任的 URL 下载或在安装阶段写入磁盘外的区域。风险较低。
- Credentials
- ok当前无需任何环境变量或凭据(requires.env 为空)。不过 SKILL.md 提到推送到飞书/其它消息渠道以及与其他“虾”协作——这些集成在实际接入时会需要 webhook/token/凭据,应当仅为该服务准备最小权限凭据并在说明中声明。
- Persistence & Privilege
- okflags 中没有 always:true,技能不会被强制常驻;脚本在 data/competitor_monitor.db 下写入自己的 SQLite 数据库——这是与功能相称的本地持久化行为,没有修改其他技能或系统范围配置的迹象。