Skillv1.0.0

ClawScan security

Scholar Search Skills · ClawHub's context-aware review of the artifact, metadata, and declared behavior.

Scanner verdict

ReviewMar 3, 2026, 10:19 AM

Verdict: Review
Confidence: medium
Model: gpt-5-mini
Summary: 技能总体功能与描述一致，但运行说明包含未验证的第三方安装命令（npx 全局安装、pip 安装）和对本地技能目录的读取，这些操作可能引入或执行不受信任的代码，值得在安装前进一步审查。
Guidance: 这是一个功能上与描述一致的“学术论文搜索与下载”技能，但在安装/运行前请注意以下事项： - 来源可信度：技能没有公开主页或明确源码仓库（source: unknown）。在安装或执行任何安装命令前，请要求或查验完整源码仓库、发布者信息与提交历史。尽量只从可信仓库（例如作者 GitHub）克隆并审查代码。 - 避免直接全局安装：SKILL.md 建议使用 `npx ... -g` 和 `pip install`，这些会下载并执行第三方代码。优先在隔离环境（虚拟环境、容器、沙箱或临时 VM）中运行，或手动审阅将被安装的软件包。不要在生产机器上直接执行全局安装命令。 - 查看并审计脚本：scripts/score_papers.py 可被静态审阅（其行为看起来正常、只做文本相似度打分）。仍建议检查其他脚本/工具（如 docling 包）源代码以确认无远程命令执行或隐藏回呼。 - 限定下载源与路径：下载 PDF 时确保仅从 arxiv.org 等受信任域名下载，并在运行前检查将写入的位置（~/papers/*）。 - Google Scholar 抓取：SKILL.md 建议使用 web_fetch 访问 Google Scholar 以做引用追踪；注意这可能违反服务条款或触发反爬机制，且不需要凭据。可考虑手动或通过官方 API/受允许的方式进行引用检索。 - 权限最小化：若只需要打分或摘要功能，可跳过 npx 全局安装并在受控环境中仅运行 score_papers.py（并在需要时手动安装其 Python 依赖）。如果你想继续安装：要求提供源码仓库 URL、npm/pypi 包出处与签名，或在隔离环境中先运行并观察网络/文件系统行为。

Review Dimensions

Purpose & Capability: ok名称与描述（搜索、下载 arXiv/会议论文、生成摘要和 BibTeX）与 SKILL.md 和脚本行为一致；所需权限和资源（下载 PDF、解析 PDF、关键词打分）与目的相符，未请求与功能无关的环境变量或凭据。
Instruction Scope: note大部分指令局限于搜索、下载和解析论文（创建 ~/papers 子目录、使用 wget 下载 arXiv PDF、用 docling 解析、用脚本打分）。需注意：SKILL.md 建议检查/访问本地技能目录 (~/.agents/skills/arxiv-search/)，以及使用 web_fetch 抓取 Google Scholar（可能涉及爬取与服务条款相关问题）。总体上指令不明显越权，但包含有潜在风险的网络抓取与本地路径访问。
Install Mechanism: concern技能注册表中没有 install spec（instruction-only），但 SKILL.md 建议执行外部安装命令：pip install scikit-learn rapidfuzz（常见但会安装第三方包），以及 npx skills add existential-birds/beagle@docling -g -y（通过 npx 全局安装不明来源包/脚本）。这些命令会下载并在本地执行第三方代码且未提供指纹/来源校验，增加了供应链/执行任意代码风险。
Credentials: ok技能不要求任何环境变量或凭据（requires.env 空），也未声明访问云凭据或其他服务令牌，所需权限相对有限（写入用户家目录、下载文件、全局包安装）。唯一需要注意的是它会读取本地技能目录路径来检测 arxiv-search，这会泄露本地技能存在性，但不直接要求敏感凭证。
Persistence & Privilege: note技能没有设置 always: true，也未要求修改其它技能配置。风险点在于 SKILL.md 建议执行全局安装（npx -g / pip install）并在用户主目录创建文件夹，这会对主机环境产生持久更改。建议在受控环境或虚拟环境中执行而非直接全局安装。