Back to skill
Skillv1.0.0
ClawScan security
支付宝开放平台密钥工具 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 11, 2026, 2:42 PM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 该技能的代码与说明一致:用于在本地生成支付宝 RSA2 公私钥或 CSR,并指导如何在开放平台绑定与验签;唯一需注意的是脚本默认会在终端打印私钥,需谨慎操作以避免泄露。
- Guidance
- 这是一个用于本地生成支付宝 RSA2 密钥与 CSR 的技能包,且其文件与文档一致。安装/使用前请注意:1) 在受信任的本机环境运行(确保 openssl 已安装);2) 脚本默认会在终端打印私钥——不要让 Agent 自动执行并把输出粘回聊天,若必须由 Agent 代跑请使用 --no-print 并明确避免在对话中输出私钥;3) 确保生成的 *.pem、*.csr、alipay_keys_* 已加入 .gitignore 并不会被提交;4) 在将公钥/CSR 上传到开放平台前核对 Subject 与 APPID/环境(沙箱/正式);5) 在不确定脚本行为时先审阅脚本内容再执行。若需要更保守的做法,建议自行本地运行脚本并只在对话中共享成功状态与绝对目录路径(不要粘贴私钥)。
Review Dimensions
- Purpose & Capability
- ok名称、描述与随附脚本(generate/verify/test)完全匹配:脚本使用 OpenSSL 在本地生成 RSA2 私钥、公钥和可选 CSR,并提供验签/排查说明。所需的外部步骤(登录 open.alipay.com 上传公钥/CSR、获取支付宝公钥)在描述中明确,未请求与目的不符的凭据或外部服务。
- Instruction Scope
- noteSKILL.md 明确要求在本机执行、避免私钥进入对话上下文,并给出 Agent 约束(优先本地执行、不要主动请求或复述完整私钥)。但脚本 generate_alipay_rsa2_keys.sh 的默认行为在 PRINT_KEYS=1 时会将私钥输出到 stdout(cat "$PRIV"),这在不当自动执行或把输出贴入聊天时会造成私钥泄露风险。建议:若让 Agent 代跑,使用 --no-print 并严格遵循不在对话中粘贴私钥的约束;更安全的做法是让用户在本机运行脚本并仅回报目录路径或成功/失败状态。
- Install Mechanism
- ok无安装脚本或远程下载,属于指令加本地脚本包(instruction-only with scripts)。唯一运行时依赖是本地 openssl,可由用户自行安装;没有从不受信任的 URL 下载或在安装期间写入可执行代码的行为。
- Credentials
- ok技能不声明必须的环境变量或凭据,仅举例常见的 ALIPAY_APP_ID / ALIPAY_APP_PRIVATE_KEY / ALIPAY_PLATFORM_PUBLIC_KEY 等,这是与支付宝集成时合理且必要的示例。没有请求与功能无关的密钥或配置路径。
- Persistence & Privilege
- okflags 显示 always:false,默认可由用户调用且允许代理自主调用(平台默认)。技能不会修改其他技能或系统范围配置,也不要求长期驻留或更高权限。