by 安全扫描
OpenClaw
可疑
high confidence该技能的大多数指令与其目的(论坛/社区推广)相符,但它未声明访问工作空间中的项目上下文文件,这可能存在隐私/范围不匹配的问题,安装前应注意。
评估建议
该技能似乎如其所言(论坛/社区推广)且无安装或凭证要求 — 良好。安装前,请审查 SKILL.md 并确认您对代理读取工作空间中的项目上下文文件(.claude/project-context.md 或 .cursor/project-context.md)感到舒适。这些文件可能包含敏感或专有信息;如果您在项目文件中存储秘密或凭证,请删除它们或阻止代理访问这些路径。由于该技能可以自主调用,请考虑禁用自主调用或仅在您明确请求论坛推广操作时启用该技能。如果您想要更强的保证,请要求技能作者声明所需的配置路径和/或在清单中明确文件读取。...详细分析 ▾
✓ 用途与能力
名称、描述和 SKILL.md 内容一致地描述了社区/论坛推广、平台特定策略(HN、Indie Hackers、Reddit、Discord、垂直论坛)以及相关输出。没有无关的凭证或二进制要求。
⚠ 指令范围
运行时指令明确告诉代理“首先检查项目上下文”并读取 .claude/project-context.md 或 .cursor/project-context.md 如果存在。这些文件读取未列在技能的声明要求/配置路径中。读取工作空间文件是获取上下文的合法方式,但技能应声明该行为,以便用户知道将访问什么。
✓ 安装机制
仅指令的技能,无安装规格和代码文件。这样可以最小化供应链和磁盘写入风险。
ℹ 凭证需求
该技能不请求环境变量或凭证 — 适合其目的。然而,它要求读取项目上下文文件(未在 requires.config 路径中披露),这可能包含敏感令牌或专有信息,取决于用户的工作空间。
ℹ 持久化与权限
always 为 false 且技能是用户可调用。技能可以自主调用(平台默认)。自主能力与未披露的文件读取行为相结合,增加了隐私爆炸半径:代理可能会访问工作空间上下文,而用户没有明确期待。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/3/17
自动批量同步
● 无害
安装命令
点击复制官方npx clawhub@latest install community-forum
镜像加速npx clawhub@latest install community-forum --registry https://cn.longxiaskill.com
技能文档
请参见下方(由于原始内容过长,仅提供部分关键翻译,完整内容请参考原始 SKILL.md)