Back to skill
Skillv1.0.0
ClawScan security
Auto Create Skill · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousMar 7, 2026, 4:48 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 该 Skill 的目的与其行为总体一致(从会话生成并写入可复用的 SKILL.md),但它会在宿主环境中写入并注册新 Skill(改变代理行为),且生成/执行的流程可能涉及未声明的外部凭据或网络操作——所以请在信任前谨慎审查。
- Guidance
- 简明建议: - 这是一个合逻辑的「从对话生成 Skill 并写入代理目录」工具,但它会在你的代理环境中写入并注册新技能,改变代理后续行为。不要在不审查的情况下允许其自动将文件写入 ~/.claude/skills 或直接注册。 - 在允许安装之前,始终手动打开并审查生成的 SKILL.md(尤其是包含 [AUTO] 步骤的部分)。检查是否有网络回传、git push、MCP 调用或任意 shell 命令会将数据发送到外部位置或使用凭据。 - 注意凭据问题:生成的工作流可能需要 git 凭据、MCP/jira token 等,但该 Skill 本身不声明或请求这些凭据。在运行自动步骤前,考虑不要把敏感凭据放在会话或让 Skill 自动执行需要认证的操作;优先选择手动批准每个外部调用。 - 最安全的使用方式:将该 Skill 限制为“手动触发/仅用户可执行”,或在隔离环境(本地沙箱)测试其生成输出;仅在你完全信任并检查过生成文件后,手动把它移动到 ~/.claude/skills 并注册。 - 备份注册表文件(~/.claude/skills/.auto-skill-registry.json)和现有技能目录,防止误写或覆盖;审查 manage_registry.py 源码(已包含)以确认其行为。
Review Dimensions
- Purpose & Capability
- okSkill 的名称、描述与运行时指令一致:它的目标是从会话抽取工作流并生成 SKILL.md、将文件写入代理的 skills 目录并维护一个注册表。它包含用于管理注册表的脚本(manage_registry.py)和模板文件,均与描述功能相符。没有发现要求与目的不相关的二进制、环境变量或外部安装。
- Instruction Scope
- noteSKILL.md 明确指示在宿主环境中创建子目录并写入 SKILL.md(示例使用 mkdir/cat),并建议在 Claude.ai 中用 present_files 提供下载链接。指令会读取模板(来自自身路径)并写入 agent 的 skills 目录或 /mnt/user-data/outputs。指令未要求读取用户的任意私密文件或网络回传,但写入技能目录会改变代理的可用技能集合——这是本功能的目的但也是需要注意的强权限行为。
- Install Mechanism
- ok无安装规范(instruction-only)且仅包含一个短小的 Python 管理脚本和模板文件;没有从外部 URL 下载或执行未受信任的二进制,整体安装/写入机制风险较低。
- Credentials
- noteSkill 本身不声明任何环境变量或凭据(requires.env 为空),但其示例工作流会包含需要凭据或外部访问的操作(如 git push、调用 MCP/jira、访问远端仓库等)。该差异意味着:生成的 Skill 如果要实际执行这些步骤,需要宿主环境中已有凭据或用户随后提供凭据;此外,自动生成的 SKILL.md 可能会引用外部服务或调用需要敏感凭据的命令,平台并未要求这些凭据的明确声明或确认。
- Persistence & Privilege
- concern该 Skill 被设计为向 ~/.claude/skills 或 /mnt/user-data/outputs 写入新的 Skill 子目录与 SKILL.md,并更新一个全局注册表(manage_registry.py)。这赋予其在宿主代理中持久化并变更代理行为的能力:一旦生成并安装,新的 Skill 可在后续会话被触发执行。虽然 always:false(未强制常驻),写入并注册 Skill 本身是高权限操作,需谨慎对待并在生成前人工审查文件内容。