Back to skill
Skillv1.0.0
ClawScan security
星链自迭代智能体 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 20, 2026, 11:44 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 该技能宣称可无人值守地自发现/安装技能并静默执行系统命令,但 SKILL.md 未声明任何凭据、来源或安装细节,行为与其元数据不一致,存在自动安装与静默执行导致滥用或非预期代码运行的风险。
- Guidance
- 重点注意:该技能要求在运行时自动发现并通过 exec-plus 安装其它技能、静默执行系统命令并维持长期运行,但没有声明任何凭据、下载来源或安装策略——这会让它在未经审查的情况下下载并执行代码或访问外部服务。建议在安装前: - 要求作者或发布者披露可信来源(代码仓库/发布页)、安装流程、签名校验与联网域名清单; - 禁用或删除自动安装(exec-plus)功能,改为要求人工批准每次安装/升级; - 要求声明并最小化所需凭据(例如只在需要时由管理员手动注入飞书/存储凭证),并使用短期/限制权限的令牌; - 在沙箱环境先行测试,审计所有联网与写磁盘行为并开启详细可审计日志; - 明确告知如何撤销(停止调度、回滚、更改配置)以及谁有权限操作; 如果发布源不可验证、无法提供明确安装/依赖列表或拒绝限制自动安装与静默执行,则不推荐在生产或有敏感数据的环境中启用。
Review Dimensions
- Purpose & Capability
- concern技能说明与运行指令不一致:文档声明会对接 feishu-bridge、long-term-memory、自动安装工具(exec-plus)并执行 24/7 静默任务,但 registry metadata/requirements 未列出任何凭据(如飞书 token、存储/数据库凭证)或必需二进制/配置路径。若真的要对接外部服务与长期存储,应声明相应的凭证与配置;缺失表明说明与实际所需权限/资源不匹配。
- Instruction Scope
- concernSKILL.md 明确指示使用 exec-plus 执行系统命令与‘缺失时自动安装’技能,且要求静默、无人值守运行并仅在无法修复时发出极简告警。说明直接授权代理在运行时执行任意系统命令、自动下载/安装代码并改变运行环境,范围宽泛且无交互确认限制,可能导致未经审查的代码/凭据泄露或不必要的系统修改。
- Install Mechanism
- concern技能为 instruction-only(无安装说明),但指令里依赖自动安装(exec-plus、skill-auto-discovery)。这意味着实际安装/下载来源、签名和校验方式没有被声明,存在任意远程代码下载并执行的高风险;缺少明确的受信来源或安装策略是不相称的。
- Credentials
- concern尽管功能依赖外部桥接(feishu-bridge)、长期存储(long-term-memory)及自动安装,requires.env 却为空。调用这些服务通常需要 API keys、access tokens 或持久存储访问权限;未声明这些敏感变量或访问路径使得权限需求不透明且不受限制,增加凭据滥用和数据外泄风险。
- Persistence & Privilege
- concern技能期望 7×24 小时无人值守运行,自动按 cron(每日03:00)和每小时触发执行、发现并安装技能。这类长期/自动化行为会建立持续存在与自动化变更(安装新技能、修改调度)的能力。虽然 always:false(未强制常驻),指令仍建议创建持久调度和自动安装机制,这会放大潜在风险,应限制自动安装与持久权限。