by 安全扫描
OpenClaw
安全
high confidence该技能请求的访问权限和指令与其声明的用途(估算信用卡首年价值)相称;这是一个纯指令型技能,不需要凭证或安装时操作。
评估建议
该技能功能明确且风险较低:仅通过获取公开网页来估算信用卡首年价值,默认不请求敏感信息。安装时需注意:(1) 仅在信任该技能/所有者时才提供BRAVE_API_KEY——该密钥将允许技能直接调用Brave搜索;(2) 该技能执行网络请求(WebFetch/WebSearch),因此搜索查询将通过网络传输——避免在对话中输入任何个人财务凭证;(3) 该技能偏好少数几个辅助来源(NerdWallet、TPG、Bankrate等)并禁止论坛/社交媒体,这限制了噪音来源;(4) 由于该技能是纯指令型且所有者未知,在前几次使用时查看示例查询/响应以确保结果和引用符合您的期望,然后再依赖这些估算。...详细分析 ▾
✓ 用途与能力
名称/描述(首年信用卡价值估算)与运行时指令一致:SKILL.md描述了处理卡变体、搜索发卡行页面和少量辅助来源、抓取费用/奖励/收益/积分并计算价值。不需要无关的凭证、二进制文件或安装。可选使用搜索API(BRAVE_API_KEY)和curl进行可重复搜索是合理的。
✓ 指令范围
运行时步骤保持在所述范围内:使用WebSearch/WebFetch和(可选的)通过curl的Brave搜索来收集公开的信用卡数据,然后根据明确列出的字段计算价值。指令不要求代理读取任意本地文件、系统凭证或将用户数据传输到意外端点。它确实允许网络调用(WebFetch/WebSearch/Brave);这对于网络研究技能是预期的。
✓ 安装机制
这是纯指令型技能,没有安装规范和代码文件,因此不会向磁盘写入任何内容。安装风险较低。
✓ 凭证需求
没有必需的环境变量或凭证。BRAVE_API_KEY和curl被声明为可选;它们的使用有文档记录,仅限于在用户提供密钥时查询Brave搜索。没有意外或过多的秘密请求。
✓ 持久化与权限
always为false,该技能不请求提升的或持久的系统权限。它不指示修改其他技能或全局代理设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/15
初始发布
● 可疑
安装命令
点击复制官方npx clawhub@latest install card-value
镜像加速npx clawhub@latest install card-value --registry https://cn.longxiaskill.com镜像同步中