Back to skill
Skillv1.0.0
ClawScan security
服务器监控 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 7, 2026, 4:19 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能仅基于 Linux 原生命令读取本机系统指标,没有请求额外凭据或安装外部软件,其行为与“服务器监控”的声明一致。
- Guidance
- 这是一个说明型的本地监控技能: - 它只运行常见的只读 Linux 命令来收集系统指标;技能本身不需要密钥或安装外部代码。 - 在允许任何代理执行这些命令之前,请确认你信任代理的执行权限,因为命令会访问本机系统信息(hostname、/proc、ps 输出等)。 - 如果你要启用告警通知,检查通知渠道(universal-notify 或其他)会如何配置和存放凭据,避免在不清楚数据流向的情况下提供外部访问权限。 - 在将脚本加入 cron 前,先在终端手动运行一遍检查脚本,确认接口名(eth0/ens/enp)、iostat 是否存在、以及 check.sh 的实际路径和内容。 - 如果你希望限制自动执行,避免把检查脚本放入自动运行位置,或者仅在明确需要时手动触发。
Review Dimensions
- Purpose & Capability
- ok技能名称与描述(监控 CPU/内存/磁盘/网络/负载、阈值告警、定时检查)与 SKILL.md 中列出的命令和流程一致。它仅使用常见的本地命令(top、free、df、ps、uptime、/proc 等),未请求与目的无关的凭证或外部服务。
- Instruction Scope
- note所有示例命令均为只读的系统状态查询,范围限于本机资源指标;这与技能声明一致。但文档提到“记录告警信息”和“发送告警消息(如用户配置)”,未说明告警记录与通知的具体位置或渠道。若与外部通知(如 universal-notify)集成,需要额外授权/凭据,安装前应确认通知目标与数据流向。
- Install Mechanism
- ok无安装规范、无代码文件——纯说明性技能(instruction-only),不会在宿主上写入或下载任何二进制,风险较低。SKILL.md 也对缺少 iostat 的情况做了降级处理。
- Credentials
- ok技能声明和运行说明中均不要求环境变量或凭据。唯一的潜在外部依赖是用户自行配置的告警/通知渠道;在那种情况下,相关凭据应由用户显式提供给对应通知工具,而非由该技能隐式要求。
- Persistence & Privilege
- ok技能没有设置 always:true,也不包含安装脚本或自修改行为;它只是运行命令并格式化输出。唯一需要注意的是:为定时检查而将脚本加入 cron 或 HEARTBEAT.md 会使检查定期执行——这属于用户主导的部署步骤,应由用户确认。