ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Aa Pair Analysis

v1.0.4

蛋白质氨基酸功能类别相邻对频率分析。对任意蛋白质家族的多物种序列进行多序列比对(MSA)、共识序列提取、对型统计和配方计算,输出Top5高频对型及φ值。适用于:(1)对新物种/类群运行完整分析流程,(2)从已有共识序列进行对型统计,(3)横向比较不同物种/类群的氨基酸对组成差异,(4)修改氨基酸分类或统计参数后重...

0· 275·0 current·0 all-time
by@wuhen9nine
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能名/描述与代码和文档一致:脚本执行 MSA、提取共识、剔除指定残基、统计相邻对并输出 Top5/φ 值。要求的依赖(Python/pandas/biopython/clustalo)与用途一致. 需要注意:主脚本默认创建任务目录时使用了硬编码路径 '/home/lenovo/.openclaw/...',这不是通用的用户目录,属于工程疏漏,可能导致权限问题或意外在其他用户主目录下写入。
Instruction Scope
SKILL.md 与脚本说明一致,运行流程清晰:先运行 setup.sh(可选跳过),然后运行 workflow 或 PDF 提取脚本。所有脚本只在本地文件系统上读写序列/结果文件并调用 clustalo;没有外部网络 API 调用或未声明的远程终端。但 run_pdf_analysis.py 会解析任意 PDF 内容并将提取文本/序列写入磁盘 — 如果输入 PDF 含敏感信息,应留意隐私/合规性。
!
Install Mechanism
该 skill 没有平台安装规范,但提供了 scripts/setup.sh 用于自动安装依赖。问题点:setup.sh 可能使用 sudo apt-get(需要特权),会修改用户的 shell 启动文件以将 $HOME/.local/bin 加入 PATH(持久化改变),并在找不到包时尝试通过 curl 下载预编译 clustalo 二进制。下载 URL 使用 plain HTTP (http://www.clustal.org/omega/clustalo-1.2.4-Ubuntu-x86_64) 而非 HTTPS — 这会产生中间人/篡改风险。总体上自动安装脚本虽然方便,但其下载/安装步骤增加了供应链风险;建议手动验证或手动安装 clustalo/pip 包。
Credentials
没有声明或要求任何环境变量、密钥或外部凭证;脚本也未尝试读取非相关系统凭证。所需权限仅为读写文件系统(在 task_dir 下)和可选的 sudo 安装操作,这与功能相称。
Persistence & Privilege
技能默认不会强制常驻(always: false)且允许自主调用(正常)。唯一的持久化行为来自 setup.sh:它可能写入 $HOME/.bashrc 来永久修改 PATH(将 ~/.local/bin 加入 PATH)并在系统上安装软件(sudo apt-get 或写入用户主目录)。此外,species_analysis_workflow.py 默认任务目录硬编码为 /home/lenovo/...,可能在不同系统上创建不期望的路径。
What to consider before installing
总体上这个 skill 做的事情与其说明一致:它在本地做 MSA、提取共识并统计氨基酸对。主要担忧是安装/环境步骤而非分析逻辑本身。建议在安装/运行前采取以下措施: - 不要直接在生产主机上以 root 或你的主账户执行 scripts/setup.sh。先阅读脚本内容并理解每一步(尤其是 sudo 调用和对 ~/.bashrc 的修改)。 - 手动安装关键依赖:用你信任的包管理器或官方渠道手动安装 clustalo(优先使用 HTTPS/官方包管理器或 conda/bioconda),并用 pip 安装 pandas/biopython。避免让脚本通过 HTTP 下载二进制。 - 注意硬编码路径:species_analysis_workflow.py 默认写入 /home/lenovo/...,在运行前用 --resume 参数指定合适的任务目录或在脚本中修改默认路径为当前用户目录,避免写入其他用户目录或系统位置。 - 若要处理敏感 PDF,请在隔离环境(VM、容器)中运行 run_pdf_analysis.py,或先手动提取/审核序列数据再喂入脚本。 - 如果你不信任自动安装步骤,跳过 setup.sh,确保 python3、pandas、biopython、clustalo 已由你或系统管理员以安全方式安装并可用于 PATH 后再运行分析脚本。 在这些缓解措施实施后,技能的风险会明显降低。

Like a lobster shell, security has layers — review code before you run it.

latestvk97battv7vf4f4qp991gebsp6583fzr2

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments