Back to skill
Skillv1.0.0
ClawScan security
当你情绪低落、脑子很乱、事情很多时,把想到的东西全倾诉出来 → 我来帮你分类、找卡点、给清单。 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 23, 2026, 5:38 AM
- Verdict
- suspicious
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 元数据(技能名称/描述/slug)与实际运行时说明(SKILL.md)不一致;SKILL.md 本身是占星/周运势生成器、无需凭证且无安装脚本,但未声明对收集出生日期/时辰等个人信息的处理,存在隐私与来源不明的疑点。
- Guidance
- 该技能包在内容与元数据上出现明显不一致:注册信息/slug 暗示这是“帮助理清思路(brain-fog)”的工具,但包含的 SKILL.md 完全是一个占星/周运势生成器。在安装前请: - 确认你要的功能是哪一个(脑雾整理还是星座运势);不要安装与你预期不符的技能。 - 询问或要求提供发布者来源和主页以便验证(目前 source/homepage 均为空)。 - 注意隐私:SKILL.md 会要求出生日期与出生时辰等个人信息。若你或他人的出生信息敏感,请确认技能不会上传或长期存储这些数据、并阅读开发者的隐私声明。 - 若你担心误触触发(触发词列表很长),在安装后检查/限制技能的触发条件或仅手动调用技能。 总体建议:除非作者能解释元数据与 SKILL.md 的差异并补充关于数据处理与来源的说明,否则把该技能标为“可疑”并谨慎对待,不要直接在生产环境或含敏感个人信息的对话中使用。
Review Dimensions
- Purpose & Capability
- concern注册表里给出的名称/描述(用户提供的中文标题意在“情绪梳理/分类/给清单”——类似脑雾整理工具,slug 为 brain-fog-clearer)与 SKILL.md 的内容(明确是“运势晴雨表”,即星座周运势生成器)不匹配。二者目的不同,说明技能包的元数据与实际内容不一致,可能是打包错误或误导性元信息。
- Instruction Scope
- noteSKILL.md 的运行说明限定为本地/基于星座的周运势生成:要求用户提供星座或出生日期/出生时辰(可能涉及敏感个人信息),并明确不用于医学/法律/投资。指令不会要求读取系统文件、调用未声明的外部端点或环境变量,范围较窄但未声明如何存储、传输或删除所收集的出生信息,存在隐私管理空缺。
- Install Mechanism
- ok技能为说明型(instruction-only),注册表中没有 install spec,也没有代码文件——这是较低风险的形式。SKILL.md 提供了以 .skill ZIP 文件在 Cowork 中导入的用户级安装说明,这与“无 install spec”的分类一致,但来源未知(source/homepage 都为空),无法验证分发包的真实性。
- Credentials
- note技能不要求任何环境变量或凭据(这是合理且最小化的要求)。但运作需要用户提供出生日期/时辰等个人身份信息,SKILL.md 未声明如何处理这些数据(是否上传、保留或用于分析),因此对用户隐私的说明不充分。
- Persistence & Privilege
- okflags 中没有 always:true,默认可由模型调用(正常)。技能也没有说明会修改系统/其他技能配置或持续驻留,因此持久化与特权要求看起来正常。