Back to skill
Skillv1.0.0
ClawScan security
Document Processor · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 3, 2026, 3:37 PM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 技能总体看起来是个本地文档处理工具,但说明中宣称的许多功能/脚本并未包含,且有一些依赖和临时文件处理值得注意,建议在隔离环境中进一步验证后再使用。
- Guidance
- 要点与建议: 1) 不一致性:SKILL.md/README 列出的多个脚本/功能(去水印、合并/拆分、batch_processor、add_watermark 等)在发布包里缺失——这意味着实际能力不如文档所述,或作者未完整打包。不要假定所有列出功能可用。 2) 在隔离环境中验证:在系统全局运行安装脚本或直接把这些脚本用于敏感文档前,请在虚拟环境或容器中测试(python venv / Docker)。避免在生产主机上直接运行 pip install。 3) 检查并安装系统依赖:若要使用 OCR 功能,必须在宿主机安装 Tesseract OCR(二进制),并安装 pdf2image/pytesseract;这些是系统级依赖,SKILL.md 已提示但注册元数据未声明。 4) 临时文件和隐私:pdf_ocr.py 会创建临时目录并将页面图片与部分 OCR 文本写入其中(save_results 写入前500字符)。确认临时目录是否被清理或手动删除以防止敏感数据残留。 5) 审核代码与缺失功能:如果你需要那些在文档中列出的额外功能(去水印、合并/拆分、批量工具等),要求维护者提供缺失脚本或查看仓库完整源码。若仅需要提取/转换/OCR 的核心功能,现有脚本可在本地验证运行。 6) 安全操作建议:在运行 install_dependencies.py 时使用 --check 首先检测缺失包;用虚拟环境并以非特权用户执行;查看 install_dependencies.py 中的 pip 命令输出,避免意外安装来自替代索引的包。 总体建议:该技能不是明显的恶意软件,但存在文档与实际代码不匹配和系统依赖未声明的问题——把它视作“未充分打包的第三方工具”,在隔离/受控环境中进一步验证并与维护者确认缺失脚本后再在生产环境使用。
Review Dimensions
- Purpose & Capability
- concernSKILL.md/README 宣称很多功能(例如 remove_watermark.py、pdf_merger.py、pdf_splitter.py、batch_processor.py、add_watermark.py 等)以及“合并/拆分/去水印/压缩”等多项工具,但清单/文件清单实际只包含:install_dependencies.py、pdf_extractor.py、pdf_ocr.py、pdf_to_word.py、word_to_pdf.py、test_skill.py、README.md、SKILL.md。也就是说文档中声明的多数脚本并未随包提供,能力声明与实际代码不一致——这是不合比例或不完整打包的信号。
- Instruction Scope
- noteSKILL.md 指导代理在本地运行 Python 脚本并读写文件(tools: exec, read, write, edit),脚本本身也只在本地对文件执行处理、OCR、写入临时目录并保存结果。没有发现将数据发送到外部网络或要求读取系统凭证的指令。不过 pdf_ocr.py 会在临时目录保存图片和 OCR 文本(save_results 会写入 temp_dir),有可能留下敏感临时文件;SKILL.md/脚本没有自动清理所有情况下的临时结果(cleanup 有实现但输出保存步骤会留下文件直到 cleanup 被调用)。
- Install Mechanism
- note技能没有 registry install spec(instruction-only),但包中包含 install_dependencies.py 用于通过 pip 安装依赖。该脚本使用 subprocess.run 调用 pip(使用 shell=True),安装源为 PyPI 风格的包名(没有从不可信 URL 下载或解压任意归档),总体安装路径可追溯且风险较低。但运行该脚本会在运行环境中执行 pip install,建议使用虚拟环境或容器,避免全局安装。
- Credentials
- note技能未要求任何环境变量或凭据,这与其本地文件处理功能一致。但 pdf_ocr.py 实际依赖外部二进制 Tesseract 和 python 库 pdf2image/pytesseract(SKILL.md 提到需要用户另行安装 tesseract 软件),这一系统级依赖没有在 registry 的 'required binaries' 中声明;用户需在宿主系统安装 Tesseract(或在受控环境中忽略 OCR 功能)。总体上没有发现不相关或过度的凭据请求。
- Persistence & Privilege
- ok技能未请求常驻(always)或特殊平台权限;默认允许模型调用(正常)。脚本会读写用户提供的文件和在临时目录写入调试/ OCR 结果,这是本地文档处理类技能的预期行为。