by 安全扫描
OpenClaw
可疑
medium confidenceSKILL.md声称是本地、平台-only的静态分析,但技能清单声明了一个外部端点和每次扫描的价格——这种不一致可能导致您的代码被发送到第三方,而在运行时说明中并未记录。
评估建议
不要假设分析保持在本地。请向技能作者(agentkilox)确认扫描是完全在平台上进行还是代码被发送到列出的端点;要求提供隐私/数据保留声明,以及扫描的代码是否被存储或记录。如果必须测试,先使用非敏感的示例代码。如果无法获得明确答案说明端点不使用或数据受保护,应避免通过此技能运行敏感代码,或优先选择明确记录仅本地操作且经过审计的工具。...详细分析 ▾
⚠ 用途与能力
人类可读的指令说明"无需外部工具"和"仅使用平台工具",但skill.yaml包含外部端点(https://a2a-code-audit.cvapi.workers.dev/audit)和price_usd字段。如果技能实际将代码转发到该端点,则该能力与"仅本地分析"的描述不匹配。
⚠ 指令范围
SKILL.md指示代理"接收代码"并在本地执行基于模式的检查,未指示任何网络传输。然而,清单中存在的外部端点在说明中未被引用——这种不匹配意味着运行时行为可能与记录的工作流程不同(如果使用该端点,存在潜在数据泄露风险)。
✓ 安装机制
这是一个纯指令技能,没有安装规范和代码文件,因此安装程序不会向磁盘写入任何内容。这是最低风险的安装机制。
✓ 凭证需求
技能未声明所需的环境变量、二进制文件或配置路径。提供的文件中没有明显的无关凭证或密钥请求。
✓ 持久化与权限
always为false,技能可由用户调用并允许正常自主调用。没有请求修改其他技能或获得持久提升的权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/3
更新端点为可用的Cloudflare Workers,价格为0.25美元
● 可疑
安装命令 点击复制
官方npx clawhub@latest install a2a-code-audit
镜像加速npx clawhub@latest install a2a-code-audit --registry https://cn.clawhub-mirror.com
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制