ClawHub

1c Assistant

Security checks across malware telemetry and agentic risk

Overview

The skill is a real 1C RAG assistant, but it also includes under-scoped automation that can monitor session logs, send data to fixed services, publish uploaded images, access calendar data, and expose host details.

Review before installing. Use only in an environment you control, rotate the exposed Qdrant key, and remove or separately permission the calendar, email/report, Ollama, system-status, Python/DevOps, public image-serving, and ingestion features unless you explicitly want them. Do not upload screenshots, PDFs, or 1C business documents unless you are comfortable with their contents and metadata being processed by the configured webhooks and Telegram flow.

SkillSpector

By NVIDIA
Vulnerability Patterns
  • Excessive AgencyUnrestricted Tool Access, Autonomous Decision Making, Scope Creep
  • Trigger AbuseOverly Broad Trigger, Shadow Command Trigger, Keyword Baiting Trigger
  • MCP Tool PoisoningHidden Instructions, Unicode Deception, Parameter Description Injection
  • Prompt InjectionInstruction Override, Hidden Instructions, Exfiltration Commands
  • Data ExfiltrationExternal Transmission, Env Variable Harvesting, File System Enumeration
Findings (29)

Description-Behavior Mismatch

Medium
Confidence
90% confidence
Finding
Справка раскрывает внутренние имена коллекций базы знаний и описывает дополнительные команды, выходящие за рамки заявленного сценария «вопросы по 1С». Это облегчает инвентаризацию внутренней архитектуры и подсказывает пользователю неочевидные возможности системы, что расширяет поверхность атаки и упрощает злоупотребление доступом к KB.

Context-Inappropriate Capability

Medium
Confidence
93% confidence
Finding
Скрипт выполняет запросы к Qdrant и отображает количество объектов в нескольких внутренних коллекциях, хотя назначение навыка — справка/консультации по 1С. Такая инвентаризация раскрывает метаданные о внутреннем хранилище, полезные для разведки, а наличие прямого доступа к внутреннему сервису из пользовательского help-сценария указывает на избыточные привилегии.

Context-Inappropriate Capability

High
Confidence
97% confidence
Finding
Справка явно инструктирует пользователя, как загружать текст, URL и PDF в базу знаний, то есть рекламирует возможность модификации KB, не заявленную в описании навыка. Это опасно, потому что создает канал для несанкционированного наполнения базы, data poisoning, загрузки вредоносного/непроверенного контента и SSRF-подобных сценариев при загрузке по URL.

Description-Behavior Mismatch

High
Confidence
98% confidence
Finding
Навык, заявленный как 1С-ассистент, фактически обрабатывает Python/DevOps-вопросы, календарь, статус Ollama и системную статистику. Такое расширение полномочий создаёт избыточную поверхность атаки и позволяет пользователю добраться до чувствительных возможностей, не соответствующих назначению навыка.

Context-Inappropriate Capability

High
Confidence
99% confidence
Finding
Код даёт навыку доступ к чтению календаря, копированию событий и отправке содержимого по почте, хотя это не обосновано контекстом 1С-ассистента. При простом текстовом триггере пользователь может спровоцировать чтение и изменение персональных данных календаря без надёжной авторизации и подтверждения.

Context-Inappropriate Capability

High
Confidence
98% confidence
Finding
Навык умеет раскрывать список моделей Ollama и системную статистику хоста, что не связано с его назначением. Это даёт пользователю канал для внутренней разведки инфраструктуры: сведения о ресурсах, моделях и окружении могут помочь в дальнейших атаках.

Intent-Code Divergence

Medium
Confidence
85% confidence
Finding
Комментарии и описание обещают RAG только для вопросов по 1С, но фактическая логика маршрутизирует ещё Python и DevOps. Такое несоответствие маскирует реальные возможности навыка, затрудняет аудит и повышает риск злоупотребления скрытым функционалом.

Description-Behavior Mismatch

Medium
Confidence
89% confidence
Finding
Навык заявлен как справочный 1C-ассистент, но шпаргалка явно расширяет область до Python и DevOps. Это повышает риск несанкционированного выхода за ожидаемые пользователем границы компетенций и доступа к операциям/данным, не связанным с 1C, особенно в сочетании с командами загрузки и запросов к внешним сервисам.

Context-Inappropriate Capability

Medium
Confidence
94% confidence
Finding
Документирует возможность загружать PDF/изображения, выполнять OCR, копировать файлы на HTTP-доступный сервер и пересылать материалы через Telegram. Для справочного 1C-навыка это избыточная и опасная capability: пользователь может не ожидать эксфильтрации документов, а чувствительные данные из сканов, печатных форм и бухгалтерских документов могут быть раскрыты.

Description-Behavior Mismatch

Medium
Confidence
90% confidence
Finding
Навык, позиционируемый как FAQ/ассистент по 1С, фактически умеет загружать и индексировать новые документы, PDF и изображения в базу знаний. Это расширяет поверхность риска от простого ответа на вопросы до долговременного хранения и обработки пользовательских данных, включая потенциально чувствительные документы.

Context-Inappropriate Capability

Medium
Confidence
97% confidence
Finding
Инструкции прямо говорят копировать изображения во временное хранилище и делать их доступными по URL, а затем отправлять дальше во внешний workflow. Для справочного навыка это создаёт явный канал утечки пользовательских файлов и метаданных, особенно если загружаются скриншоты с персональными или корпоративными данными.

Description-Behavior Mismatch

High
Confidence
98% confidence
Finding
Скрипт явно выходит за рамки заявленного назначения навыка 1С-консультанта: он обращается к внешнему webhook, публикует файлы и подготавливает OCR-данные для передачи. Такое несоответствие повышает риск скрытой эксфильтрации пользовательских данных, потому что пользователь ожидает справку по 1С, а не обработку и выгрузку изображений во внешнюю инфраструктуру.

Context-Inappropriate Capability

High
Confidence
97% confidence
Finding
Поддержка произвольных URL позволяет скрипту скачивать данные с внешних адресов без ограничений, что создаёт SSRF-подобный риск и канал для скрытой доставки/обработки чужого контента. В контексте навыка по 1С эта возможность не выглядит необходимой, поэтому её наличие особенно подозрительно и расширяет поверхность атаки без явной пользы для основной функции.

Context-Inappropriate Capability

High
Confidence
99% confidence
Finding
Скрипт копирует полученное изображение в постоянное хранилище и делает его доступным по прямому URL, что может привести к несанкционированному раскрытию конфиденциальных скриншотов, документов и персональных данных. Для навыка, заявленного как текстовый помощник по 1С, публикация пользовательских изображений через HTTP особенно опасна и неочевидна для пользователя.

Context-Inappropriate Capability

High
Confidence
99% confidence
Finding
OCR-текст, заголовок, URL изображения и chat_id отправляются во внешний webhook, что создаёт прямой риск эксфильтрации чувствительных данных из скриншотов и метаданных переписки. В контексте 1С это может включать бухгалтерские документы, кадровые сведения, налоговые данные и другую коммерчески чувствительную информацию.

Missing User Warnings

Medium
Confidence
99% confidence
Finding
API-ключ Qdrant захардкожен в скрипте и используется для сетевых запросов, что создает риск компрометации секрета через репозиторий, логи, резервные копии или доступ к файлу. При утечке злоумышленник может получить несанкционированный доступ к внутреннему векторному хранилищу и его данным или метаданным.

Missing User Warnings

Medium
Confidence
97% confidence
Finding
Навык создаёт новые события календаря на основе простого текстового совпадения вроде 'скопируй на' без отдельного шага подтверждения. Это опасно, потому что пользовательский ввод из наблюдаемой сессии напрямую приводит к изменению внешнего состояния и может вызвать несанкционированные либо ошибочные действия в календаре.

Missing User Warnings

Medium
Confidence
98% confidence
Finding
Содержимое календаря может быть отправлено по почте при наличии общих слов-триггеров вроде 'отправь' или 'mail', без явного подтверждения и без контроля адресата на уровне этого кода. Это создаёт риск утечки чувствительной информации о встречах и расписании во внешние каналы.

Missing User Warnings

Medium
Confidence
96% confidence
Finding
Команды прямо отправляют текст документов, URL, chat_id и запросы на внешние endpoints, но не предупреждают пользователя о передаче данных во внешние системы. В контексте 1C это опасно, потому что документы и вопросы могут содержать бухгалтерские, кадровые или инфраструктурные данные, которые уходят в n8n/Qdrant/Telegram без прозрачного уведомления.

Missing User Warnings

High
Confidence
98% confidence
Finding
Шпаргалка явно говорит, что изображения копируются и становятся доступны по HTTP, а также участвуют в ответах через Telegram, но не содержит явного предупреждения о риске раскрытия. Это создает прямой путь утечки скриншотов, документов и OCR-извлеченного содержимого, особенно если на изображениях есть персональные, финансовые или внутренние конфигурационные данные.

Vague Triggers

Medium
Confidence
83% confidence
Finding
Слишком широкие триггеры по общим словам вроде «1с», «регистр», «документ» могут активировать навык на обычных сообщениях, не предполагающих вызов внешних систем или скриптов. В контексте этого навыка ложная активация особенно опасна, потому что дальше возможны сетевые запросы, отправка данных в Telegram и shell-вызовы.

Missing User Warnings

High
Confidence
99% confidence
Finding
В описании RAG webhook пользователь не предупреждается, что его вопрос будет отправлен во внешний сервис и что ответ/данные связаны с фиксированным Telegram chat_id. Это нарушает принцип информированного согласия и создаёт риск утечки коммерчески чувствительных вопросов, фрагментов данных или внутренней терминологии.

Missing User Warnings

High
Confidence
97% confidence
Finding
Синхронный режим пересылает вопрос пользователя в Ollama для embedding/generation и использует Qdrant для поиска контекста, но это не раскрыто как передача данных в сетевые сервисы. Даже если сервисы внутренние, это всё равно обработка данных вне самого ассистента и может затрагивать чувствительные вопросы, документы и внутренние знания.

Missing User Warnings

High
Confidence
99% confidence
Finding
Раздел загрузки изображений не предупреждает, что файл будет скопирован во временное хранилище и станет доступен по URL, а также что OCR-результат и изображение пойдут во внешний workflow. Это особенно опасно для скриншотов 1С, которые часто содержат персональные данные, бухгалтерскую информацию и внутренние идентификаторы.

Missing User Warnings

High
Confidence
98% confidence
Finding
PDF-документы могут содержать договоры, зарплатные данные, налоговые сведения и другую конфиденциальную информацию, но навык не предупреждает о передаче их во внешнюю обработку и OCR. Это создаёт значительный риск утечки содержимого и несоответствия требованиям конфиденциальности или комплаенса.

VirusTotal

VirusTotal findings are pending for this skill version.

View on VirusTotal