Back to skill
Skillv1.0.1
ClawScan security
保单照妖镜 - 保单权益保障PK擂台 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 28, 2026, 1:33 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 总体上这个“保单对比”技能听起来与其实现大体一致,但存在可疑的提示注入字符和关于“实时搜索理赔口碑”执行方式的含糊之处,用户在安装前应谨慎确认数据流向与运行环境。
- Guidance
- 简短建议: 1) 在信任并安装前审查 SKILL.md 源文件,移除或确认任何不可见的 Unicode 控制字符(静态扫描已提醒)。这些字符可能用来改变模型指令或评估逻辑。 2) 理解并确认“理赔口碑实时搜索”会把保单要素(公司名、产品名、可能的个人信息)发往公开网站或搜索引擎——如果你不希望将未去标识化的保单文本暴露到网络,请不要允许网络搜索或在本地离线环境运行仅使用本地数据的模式。 3) 测试在沙箱/离线环境:先在隔离环境运行 compare_policies.py 与 HTML 生成流程,确保评分代码按预期(脚本仅做评分与报告合成,没有网络/外联行为)。 4) 明确 LLM 与浏览器/网络调用的通路:如果技能依赖云 LLM(需要 API key)或爬虫工具,请评估这些凭据的储存位置与访问范围;避免把 API key 或敏感凭据注入到不熟悉的技能中。 5) 若你关心隐私与合规(保单含个人信息),优先在本地执行 OCR 与人工审核提取结果,或要求技能在上传/搜索前对敏感字段进行脱敏。 若开发者能提供:a) 去掉注入字符的干净 SKILL.md;b) 关于如何执行“实时搜索”(使用哪些 API/爬虫、是否通过代理、是否会记录查询)的明确说明;c) 一个可选的“离线模式”(只用条款文本,不做网络搜索),这将把评估从“可疑”显著改进为“更可信”。
- Findings
[unicode-control-chars] unexpected: SKILL.md 被检测到含 Unicode 控制字符提示注入模式;此类字符有时用于隐藏或篡改提示内容并操纵 LLM。对于一个以严格 Schema 提取与客观搜索为核心的技能,这类注入不应存在,建议人工检查 SKILL.md 原文并移除不可见字符。
Review Dimensions
- Purpose & Capability
- note技能声明:OCR → 用 LLM 按 Schema 提取 → 七维度打分 → 实时搜索理赔口碑 → 生成 HTML 报告。包含的 Python 脚本只实现了打分/比对逻辑(基于结构化输入),并未实现 OCR、LLM 调用或网络抓取。“实时搜索社交媒体/投诉/监管网站”是该技能的核心卖点,但 SKILL.md 没有声明需要的网络/抓取工具、代理或第三方 API,也没有要求任何与社交平台/搜索相关的凭据。结论:功能声明与包含的实现部分(评分引擎)大体一致,但对搜集理赔口碑的实现细节缺失,产生可解释性/信任的缺口。
- Instruction Scope
- concernSKILL.md 指示读取用户上传的图片/PDF、使用本地 PaddleOCR 或 tesseract 做 OCR、把文本送入 LLM 按 references/schema.md 输出严格 JSON,并且发起“实时搜索”公开社交媒体/投诉与监管网站以汇总理赔口碑。风险点:SKILL.md 中被静态扫描标示含“unicode-control-chars”(提示注入)——这可能被用来操纵模型的行为或评估过程;另外实时网络搜索会把(可能包含敏感个人或保单细节的)查询发送到第三方站点/搜索引擎,存在隐私/数据外泄风险。SKILL.md 也指示将报告保存到用户桌面并自动打开浏览器(本地写文件 + 启动动作)。这些操作都是功能需要的,但数据出路和隐私边界没有被明确约束。
- Install Mechanism
- ok没有 install spec:技能是说明+工具脚本的混合体(instruction-first,包含 compare_policies.py 和 HTML 模板等)。没有远程下载或第三方包安装脚本被强制执行,降低了供应链风险。SKILL.md 建议用户本地安装 paddleocr/paddlepaddle 或 tesseract,但这只是可选依赖提示。
- Credentials
- ok技能声明不要求任何环境变量或外部凭据(registry metadata 中亦无要求)。这与其声称功能(本地 OCR、LLM 驱动的结构化提取、公开网页搜索)部分匹配,但实际运行可能依赖平台提供的 LLM 接口或网络访问权限——这些凭据或代理不在技能中声明。总体上,技能没有要求与目的不符的秘密或多余凭据,但对外部网络调用的凭据和数据去向应当在部署前确认。
- Persistence & Privilege
- ok技能未请求 always:true,遵守默认的用户可调用与模型可自主调用策略。没有看到修改其他技能或系统级配置、也没有声明长期驻留或自动启用自身的逻辑。将报告写到桌面并打开浏览器属于本地行为范围内的预期权限。