Back to skill
Skillv1.0.0
ClawScan security
AI行业早报 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignApr 25, 2026, 2:11 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 这个 Skill 的声明、指令和清单在功能上自洽:它只是一个基于定时/手动触发的早报生成提示词,未请求额外凭据或安装任意代码。
- Guidance
- 此 Skill 本身为说明性提示词集合,会定时在平台上运行并通过已配置的企业微信/飞书等渠道发布早报。安装前请确认:1) 平台已有可信的 wecom/消息通道配置且凭据由平台管理(Skill 未请求凭据);2) 你接受 Skill 自动在每天 8:30 向目标渠道发布内容(可禁用定时任务或手动触发);3) 检查生成内容来源与引用策略(确保优先使用权威来源并避免误报);4) 注意毛选语录为政治敏感内容,确认接受向目标受众发送此类内容。若你希望更严格控制,先在隔离测试账号上启用并审阅几次输出,再放开到生产渠道。
Review Dimensions
- Purpose & Capability
- ok名称、描述与 SKILL.md / prompt.md / skill.yaml 中的行为一致:按日检索过去24小时 AI 领域新闻,整合黄历并附毛选语录,发送为早报。所需能力(搜索、黄历查询、消息发送)在文档中有说明,属于功能内预期。
- Instruction Scope
- okSKILL.md 和 prompt.md 明确只指示检索新闻、查询黄历、挑选语录并生成早报;没有要求读取主机文件、环境变量或将数据发送到未声明的外部终端。cron-job.json 的 payload 指示定时触发并以 announce 模式向企业微信发送,属于预期交付路径。
- Install Mechanism
- ok这是纯说明性(instruction-only)Skill,未包含安装脚本或外部二进制下载,运行时不会写入或执行额外代码,安装机制风险低。
- Credentials
- noteSkill 未声明任何环境变量或凭据,这与它不包含发送实现代码是相符的;但 cron/job 与 skill.yaml 指定交付渠道为 wecom(企业微信),实际发送需要平台上配置可用的发送渠道或凭据。用户应确认平台的消息通道和凭据由平台安全地管理,而非 Skill 本身。
- Persistence & Privilege
- noteSkill 配置了启用的定时任务(cron-job.json 中 enabled: true),会在平台上按计划自动触发并以 announce 模式发送到企业微信。虽然这符合早报用途,但意味着 Skill 会定期向外部渠道推送内容——请确认你信任该 Skill 的输出并检查发送目标权限与范围。