Back to skill
Skillv1.0.0
ClawScan security
Lobster Dev Planner · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 4, 2026, 3:07 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 总体上这个技能看起来像一个合理的“开发规划与自动化”助手,但它包含一些模糊/自相矛盾的自动化指令并且模板中引用了多类敏感配置(数据库 URL、JWT_SECRET、第三方 API keys 等),这些在 SKILL 元数据中并未以环境权限或凭据形式声明,用户在允许自动化执行前应谨慎审查并限制凭据权限。
- Guidance
- 简明建议: - 在允许技能执行任何自动化操作前,确认它在何种情形下会自动调用 MCP(例如是否会未经二次确认就 push/commit/执行 SQL/部署)。 - 不要向技能直接提供高权限长期密钥。若需连接 GitHub/数据库/云服务,创建有限权限的临时凭据(最小权限、仅对测试仓库/测试数据库可用),并在任务结束后撤销。 - 在首次运行时选择“仅生成文档/规划”并审阅生成的 DEV_DOCUMENT/API/STYLE 文档,再决定是否启用自动开发步骤。 - 注意模板中列出的敏感环境变量(DATABASE_URL, JWT_SECRET, SMTP_PASS, OPENAI_API_KEY 等):除非你完全信任并控制运行环境,否则不要把生产密钥或真实用户数据提供给自动执行的 Agent。 - 若你希望更安全地试用:在隔离环境(临时仓库、测试数据库、本地容器)中允许技能运行,并手动审查每一步的变更(特别是 git 提交、数据库迁移与部署命令)。 如需更高置信度判断,可提供:技能实际会调用的 MCP 列表与每个 MCP 的授权/回调方式,以及平台上当前可用的 MCP 凭据种类(例如:是否存在自动已配置的 GitHub token 或云服务凭据)。
- Findings
[no_regex_findings] expected: 静态正则扫描未报告任何发现。技能为 instruction-only,主要安全面来自 SKILL.md 与模板内容,而非可执行代码,故无代码级扫描结果是预期情况。
Review Dimensions
- Purpose & Capability
- note技能名和描述与实际指令一致:它的目的是收集需求、生成文档并编排 Agent/MCP 工具进行开发,文档模板、任务派遣格式和 MCP 列表都支持该目标。没有请求额外的系统级依赖或与目的明显无关的外部凭据。唯一需要注意的是模板中包含大量常见开发敏感配置(数据库 URL、JWT_SECRET、SMTP_PASS、OPENAI_API_KEY 等),对于一个“开发执行”技能这可以解释为合理需求,但这些敏感项并未在元数据中声明为必需凭据。
- Instruction Scope
- concernSKILL.md 指示在 Phase 4 自动检测并配置可用 MCP(filesystem, GitHub, DB, Docker, Slack/email 等),并且多处提到“直接执行 SQL”“自动 commit/PR/Issues”“全程自动调用”。同时文档中又有“确认前不动手”的声明——两者存在一定矛盾。自动检测并调用 MCP 意味着该技能在获得相应权限后可以读写文件、修改仓库、在数据库中执行语句和部署容器;这些操作虽然与开发目的相关,但范围广泛且可对用户环境造成破坏或泄露,且 SKILL 元数据没有明确列出会访问哪些凭据或配置路径。
- Install Mechanism
- ok这是一个 instruction-only 技能(无安装规范、无代码文件要执行),因此不会在安装阶段下载或写入本地二进制文件,安装风险较低。
- Credentials
- note元数据未声明任何 required env 或 primary credential,但引用的模板示例和操作流程中会用到多类凭据(GitHub 凭据/令牌、DATABASE_URL、JWT_SECRET、SMTP_PASS、OPENAI_API_KEY、第三方登录凭证等)。对于一个需要访问代码仓库、数据库与第三方服务的“开发执行”技能,这些是合理且常见的,但用户应当注意:技能会尝试检测并调用可用 MCP,因此若平台上存在已配置的 MCP 凭据,技能可能会使用它们执行敏感操作。技能本身没有阐明会如何请求或存储这些凭据。
- Persistence & Privilege
- ok技能没有设置 always: true,且默认允许模型/agent 调用(这是平台默认行为)。没有看到技能尝试修改其他技能或系统范围配置的指令。需要提醒的是,允许自主调用 MCP 的技能在获得权限后可自动执行对外操作,若结合凭据和自动化计划会扩大影响面。