ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

唯品会活动搜索

v1.0.1

唯品会(vip.com)促销活动查询技能。当用户想了解唯品会当前或近期活动信息时触发,包括但不限于: 查活动、看特卖、有没有促销、419/618/双11/周年庆/双12等大促信息、品牌特卖专场、限时狂秒、 今天什么在打折、哪些品牌在搞活动、活动什么时候结束等。 返回活动名称、活动时间、参与品牌、活动链接等结构化信...

0· 63·0 current·0 all-time
by@vip·duplicate of @viphgta/vipshop-promotion-search
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名/描述与实际功能(查询唯品会促销)一致。要访问唯品会需要登录态,脚本会读取 ~/.vipshop-user-login/tokens.json 并使用 cookies 调用官方 API,这与目的相关联。唯一要注意的是它依赖并自动触发另一个名为 vipshop-user-login 的 skill 来获取登录态——在功能上合理但会引入额外信任边界。
!
Instruction Scope
SKILL.md 强制要求:检测登录状态并在未登录时“立即自动”安装并调用 vipshop-user-login(使用 clawhub install 或 use_skill),或直接执行 ../vipshop-user-login/scripts/vip_login.py --blocking。该流程要求 agent 在未获用户再次确认的情况下安装/执行外部代码并等待扫码完成,赋予了较大自治权并跨越了原技能边界(修改系统,执行外部脚本)。此外文档反复强调“不要等待用户手动请求”,这放大了风险。
Install Mechanism
本技能本身无 install spec(仅 instruction + 一个脚本),风险较低。但 SKILL.md 指导在运行时使用 clawhub 安装另一个 skill 或直接执行相对路径下的脚本。运行时下载/安装另一个 skill 的行为并不由本包直接声明,增加了隐含安装操作的风险——应核实 vipshop-user-login 的来源与安全性。
Credentials
技能不请求环境变量或外部凭据,但会读取用户主目录下的 ~/.vipshop-user-login/tokens.json(包含 cookies 和 expires_at),并从中使用 PASSPORT_ACCESS_TOKEN 发起 API 请求。读取本地 token 文件与登录需求成比例,但该文件包含敏感凭证,自动读取并使用需要明确用户授权。
Persistence & Privilege
技能没有设置 always:true,也未声明修改其他技能或全局配置。默认允许模型调用(平台默认),但主要风险来自其要求自动安装/调用另一个 skill 和执行外部脚本,而非本技能自身的持久化权限。
What to consider before installing
简单建议: - 功能合理:此技能确实为查询唯品会促销而设计,脚本仅调用官方 api.union.vip.com 接口并解析结果。 - 但请注意自动登录流程:SKILL.md 要求在未登录时自动安装并调用另一个 skill(vipshop-user-login)或直接执行 ../vipshop-user-login/scripts/vip_login.py,这会在没有额外确认的情况下从网络下载/运行代码并读取 ~/.vipshop-user-login/tokens.json(敏感 cookies)。 - 在安装/启用前请确认:vipshop-user-login skill 的来源与代码可信;clawhub install 的行为和来源可信;tokens.json 的存储位置和内容安全(避免泄露)。 - 若您不信任自动安装或自动执行脚本,要求在 agent 行为上增加一步用户确认(不要自动安装或自动调用登录),或手动完成登录并仅允许技能读取经您授权的 token 文件。 - 如果需要更高保证:审阅 vipshop-user-login 的源码并在受控环境下测试,或限制 agent 的自动安装权限与外部命令执行权限。

Like a lobster shell, security has layers — review code before you run it.

latestvk979q1c8dvah8w3qsnzb8v0hg984jseb

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments