Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
潜在意向筛选虾
v1.0.0潜在意向筛选虾 — 从公域评论、帖子、私信中识别真实购买意向,生成高意向销售线索并推送给销售团队。 当以下情况时使用此 Skill: (1) 需要从评论区、帖子、私信中挖掘有购买意向的潜在客户 (2) 需要对用户提供的评论数据(CSV/文本)进行意向识别和评分 (3) 需要在竞品帖子下找到对竞品不满意、正在寻找替...
⭐ 0· 79·0 current·0 all-time
byRicky@tujinsama
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名与描述(从评论/帖子/私信识别购买意向并推送线索)与提供的关键词库、语义规则和评分模型高度一致;脚本提供采集/分析/推送的命令结构参考,与用途匹配。但技能执行的若干操作(例如收集私信、调用各平台 API、将线索推送到飞书/写入多维表)需要外部凭据或权限,技能元数据并未声明这些依赖。
Instruction Scope
SKILL.md 明确允许处理公域评论/帖子,也提到私信(‘私信筛选’),并说明会将高意向线索输出或推送到飞书。指令引用本地参考文件并使用 scripts/intent-scanner.sh 作为命令示例;脚本本身不执行采集或网络请求,但文档和脚本提示实际采集/推送需要平台 API/cookie 和 OpenClaw 的 message 工具。技能没有限制或说明对敏感/个人数据的最低化处理或用户同意流程,存在将用户名、私信内容等 PII 传递给销售团队的风险。
Install Mechanism
无安装规范(instruction-only),仅包含一个参照 shell 脚本和若干参考文件。没有从不可信 URL 下载或写入磁盘的自动安装步骤,安装机制本身风险低。
Credentials
技能会调用/建议调用平台采集接口和将数据推送到飞书,但 requires.env / primaryEnv 未声明任何凭据或配置路径。将线索推送到飞书或访问私信通常需要 API token、app credentials 或 cookies;技能没有说明这些敏感凭据将如何提供、限制或保护,且也未要求声明最低权限或同意,导致环境/凭据与声明功能不对等。
Persistence & Privilege
技能未设置 always:true,也未声明修改其他技能或系统范围配置。其自治调用权限为平台默认,未见额外持久性或超出常规权限的要求。
What to consider before installing
技能本身是一个意向识别模板并附带词库与脚本示例,功能与描述基本一致 — 但在你把它连接到真实平台或企业环境前请注意:
- 私信(私有数据)和用户个人信息会被读取并可能推送给销售团队:确认你有合法授权与用户同意,遵守隐私法规与公司政策。
- 推送到飞书/写入表格与平台采集都需要 API token/cookie 等凭据;技能没有声明需要或如何保护这些凭据。仅提供最小权限的专用账号/令牌,并在可信环境中注入凭据(不要直接粘贴到公开脚本)。
- scripts/intent-scanner.sh 是命令参考,不会自动采集或发送——在把它用于生产前,审查实际执行路径(agent 的实现会调用何种工具/网络端点),并在测试环境用尽可能脱敏的数据验证。
- 如果你需要更高保证:要求作者或发布者声明所需权限、凭据列表及数据保留/删除策略,或在部署前让安全/合规团队评估。Like a lobster shell, security has layers — review code before you run it.
latestvk97a6e3082hxdc4y1mtctcyw5184j25g
License
MIT-0
Free to use, modify, and redistribute. No attribution required.