Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Stainless Quote Generator
v1.0.0快速生成包含成本测算、运费计算和利润分析的不锈钢专业报价单,支持多格式导出和历史记录管理。
⭐ 0· 62·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能宣称会抓取外部价格(我的钢铁网/上海有色网、LME 镍价)并能与微信、飞书、邮件和 CRM 同步,但注册元数据和 requirements 未要求任何 API 密钥、回调地址或外部凭据。若要实现这些集成,通常需要 API 凭证、OAuth 授权或明确的抓取/爬虫逻辑;缺失这些声明与功能不一致。示例代码暗示存在 generator.createQuote API,但技能为说明文档并无任何代码或库提供,造成能力宣称与实际交付不匹配。
Instruction Scope
SKILL.md 指示“自动更新/抓取”“实时追踪”“同步到飞书/CRM/微信发送”等操作,但没有限定如何获取授权、如何处理敏感客户数据或说明数据发送目的地。文档措辞较宽泛(例如“抓取我的钢铁网/上海有色网”、“运费平台同步”),这赋予代理较大自由去访问外部网站或第三方服务——在没有明确凭据和范围限制的情况下,这类开放指令可能导致意外的数据泄露或不受控的网络访问。
Install Mechanism
这是一个纯指令型技能(无安装规范、无代码文件、无外部归档下载),因此不会在安装阶段向磁盘写入或执行第三方二进制,安装风险较低。
Credentials
技能列举了多项需要外部凭证的集成(微信、飞书、CRM、邮件服务,及数据提供方的实时价格接口),但 requires.env 未声明任何环境变量或凭据。这是不相称的:要实现这些功能,通常至少需要一次性或长期凭证、API keys 或 OAuth 配置。缺少这些声明意味着实现细节被隐藏或假定代理可随意访问敏感凭据。
Persistence & Privilege
技能未要求永久常驻(always:false),也未声明修改其他技能或系统配置的权限。默认的模型调用未被禁用(允许自主调用)是平台常态;单独看没有提升权限的迹象。
What to consider before installing
这项技能声称能自动抓取行业价格并把报价同步到微信/飞书/邮件/CRM,但说明文档没有提供实现细节或声明需要的凭据。安装前请询问作者或发布方:
- 外部集成如何认证?是否使用平台的 OAuth/连接器,还是需要你提供 API Key/账号密码?
- 报价历史和客户数据存储在哪里?是否会上传到第三方服务器,保存期限和访问控制如何?
- 自动“抓取”外部网站用的具体接口或许可是什么?是否遵守目标站点的使用政策?
- 是否能提供实际代码或可审计的实现(或明确说明仅为交互式文本/模板建议)?
不要在不清楚用途和存储位置的情况下向该技能或其作者提供生产环境的 API 密钥、邮箱/微信账户凭证或敏感客户数据。若必须测试,使用受限的测试凭证或沙箱账户,并监控网络/访问日志。若作者无法明确说明上述问题,建议将此技能视为高风险并避免在生产环境中使用。Like a lobster shell, security has layers — review code before you run it.
latestvk97275f00f2ctbr6c8q7ycbzqn83mkxd
License
MIT-0
Free to use, modify, and redistribute. No attribution required.