Back to skill
Skillv1.10.1
ClawScan security
Data Governance · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 26, 2026, 7:03 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能功能与描述一致,但元数据未声明它实际需要的数据库凭据/环境变量——这会让用户在不知情的情况下输入敏感数据库凭据,需谨慎安装并先核验细节。
- Guidance
- 这是一个功能上合理的数据治理工具,但在安装/运行前请注意: - 元数据遗漏:注册表没有声明所需的环境变量/主凭据,但脚本确实会读取 DB_HOST、DB_USER、DB_PASS、DB_NAME、DB_PATH 或接受包含凭据的连接字符串。不要在不了解这一点时把生产凭据交给技能。 - 最小权限:为测试/评估使用只读、受限的数据库账户;绝不要用管理员/写权限生产凭据直连。 - 避免在命令行明文传密码:优先通过短时环境变量会话(export ... 在当前 shell)或使用本地受控 SQLite 副本进行分析,避免把凭据放在 shell 历史或脚本中。 - 代码审查:如果你信任要在敏感环境运行,先在隔离环境中审查并运行脚本(本地或容器),确认脚本不会向网络外发出请求或将数据发布到外部终端。脚本看起来只与数据库交互并在本地生成报告,但最好 grep/监控任何网络相关调用(requests、socket、urllib 外发等)。 - 期望修复:理想情况下,发布者应在 registry 元数据中明确列出所需环境变量/主要凭据(primaryEnv),并在 SKILL.md 中强制推荐只读连接与示例最小权限策略。若发布者无法说明来源或无法更新元数据,谨慎使用并优先在脱敏/非生产副本上运行。 如需更高置信度判断,请提供:发布者/源码仓库链接;是否有维护者签名或发布记录;或让发布者更新 registry 元数据以列出所需环境变量(这会把不一致问题解决)。
Review Dimensions
- Purpose & Capability
- note技能名与描述(数据质量、元数据、血缘、合规)与包含的脚本一致:所有脚本都以访问数据库并读取表/schema 为核心功能,这与声称的用途相符。值得注意的差异是注册表元数据声明“无需环境变量/主要凭据”,但实际脚本明确依赖 DB_HOST/DB_USER/DB_PASS/DB_NAME/DB_PATH 或接受包含凭据的连接字符串。
- Instruction Scope
- noteSKILL.md 明确指导创建虚拟环境、通过环境变量提供数据库连接并运行本地脚本,且包含安全建议(最小权限、不要在命令行明文传密码、脱敏等)。总体上说明与脚本行为相符。需要注意:脚本同时接受 --db/connection 字符串,可能允许将明文凭据放在命令行或 URL 中;SKILL.md 建议使用 env vars,但并未强制化或限制传入方式。
- Install Mechanism
- ok这是 instruction-only + 内置 Python 脚本的包;无 install spec、无远程下载、仅列出常见 Python 依赖(sqlalchemy、pymysql、psycopg2、pandas)。没有发现从不受信任源提取代码或创建系统级二进制的行为。
- Credentials
- concern注册表元数据显示“无需环境变量/主要凭据”,但 SKILL.md 和所有脚本均从环境变量(DB_HOST, DB_PORT, DB_USER, DB_PASS, DB_NAME, DB_PATH)读取数据库凭据或会接受包含凭据的连接字符串。这是一处不一致:请求的凭据本身与技能用途相关(数据库访问是必要的),但未在元数据中声明会增加意外泄露敏感凭据的风险。
- Persistence & Privilege
- ok技能未请求 always:true,也不修改其他技能或系统范围配置;运行方式为本地执行脚本,权限范围受所提供数据库凭据限制。没有迹象表明技能会保持长期驻留或提升自身至平台级特权。