Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Magic Docs
v1.0.0自动更新的活文档。在 Markdown 文件开头加 `<!-- MAGIC DOC -->` 标记,Agent 会在每轮对话后自动检测是否需要更新该文档,并写入新发现的信息。灵感来自 Claude Code 的 Magic Docs 机制。触发词:magic doc、活文档、自动更新文档、auto doc。
⭐ 0· 62·0 current·0 all-time
by@wavmson
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能目的(维护“活文档”)与大部分运行指令一致:扫描 workspace、判断相关性、修改 Markdown。但 SKILL.md 中显式用到 shell 命令(grep, head)和一个未定义的 `edit` 工具,却在元数据中没有声明所需二进制,这在能力声明上不一致——安装/依赖未被列出。
Instruction Scope
说明要求在每轮对话结束时扫描整个工作区(grep -rl . --include="*.md"),读取文档前 50 行、完整内容,并对文件进行追加或修改。它还建议从 MEMORY.md 和 TOOLS.md 提取信息。读取与修改任意工作区文件属于高权限操作;尽管文档列出“不写入密钥/密码”等安全规则,但没有技术性保障或验证逻辑,容易导致意外写入敏感信息或将对话中暂态/敏感内容落盘。
Install Mechanism
这是 instruction-only 的技能,没有安装步骤或外部下载,因而不会在安装阶段写入磁盘或运行不明二进制,安装风险较低。但运行时依赖本地工具(见 purpose_capability)未声明。
Credentials
技能不要求环境变量或外部凭据,这是合理的。风险在于它会读取工作区中任意文件(包括可能包含凭据的文件)并写回文档,且说明依赖 MEMORY.md/TOOLS.md 等文件——这些未在元数据中声明为受限路径或敏感资源,存在越界读取/写入的可能性。
Persistence & Privilege
虽然没有设置 always:true,且 user-invocable 为 true,但默认行为(update="realtime")会让代理在每轮对话后自动修改文件,结合自主调用能力(disable-model-invocation=false)意味着技能可能在用户不注意时持续修改工作区文件。自动化修改用户文件应有更严格的确认或审计机制。
What to consider before installing
该技能确实能做“自动维护 Markdown 文档”这类有用工作,但在安装元数据与运行指令间存在不一致,并且会自动读取/修改工作区文件:
- 风险点:技能会扫描并写入你的仓库文件,可能无意中记录对话中的敏感信息;它依赖本地命令(grep/head/edit 等)但未声明为必需项;对“不要写入密钥/密码”仅是规则性约束,没有强制检查。
- 建议在安装/启用前采取的步骤:
1) 把默认 update="realtime" 改为 manual 或 daily,以避免每次对话都自动修改文件。
2) 在受控/隔离的测试工作区先试运行,确认行为符合预期并有回滚手段(备份文件/开启版本控制)。
3) 明确限定 scope(只包含非敏感主题),并在 workspace 中对敏感文件(如包含凭据的 MEMORY.md/TOOLS.md)做访问限制或移出工作区。
4) 要求技能在每次写入前征得用户确认,或提供审计日志/变更预览。
5) 如果可能,要求技能作者在元数据中补充所需二进制和明确定义的“edit”工具行为,或用平台提供的受控编辑 API 代替任意文件写入。
总之:该技能功能合情合理,但在自动写入与敏感信息防护上没有技术强制措施,建议谨慎启用并先在受控环境中评估。Like a lobster shell, security has layers — review code before you run it.
latestvk97chx54k0vj8fybxyj9n1hg6n843vn5
License
MIT-0
Free to use, modify, and redistribute. No attribution required.