最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
crewai-team
Hardcoded API credential in 15 Python files
手动上传 2026/4/4
打开报告 ↗
复核
instreet-gomoku
Hardcoded API credential in source code
手动上传 2026/4/4
打开报告 ↗
复核
interactive-infographic
Hardcoded fallback API key in source code
手动上传 2026/4/4
打开报告 ↗
复核
risk-analysis
Hardcoded MySQL credentials in config.yaml
手动上传 2026/4/4
打开报告 ↗
复核
turing-pot-biglog
Undeclared base64 encoding of WebSocket messages
手动上传 2026/4/4
打开报告 ↗
复核
x-scout
Silent phone-home analytics on every execution
手动上传 2026/4/4
打开报告 ↗
复核
ecommerce-category-collector
Hardcoded credentials in documentation
手动上传 2026/4/4
打开报告 ↗
复核
ai-content-pipeline
Production API credentials in .env file
手动上传 2026/4/4
打开报告 ↗
复核
file-transfer-thru-local-workspace
Undeclared credential file access
手动上传 2026/4/4
打开报告 ↗
复核
feynman-fsrs-pro
Database credentials exposed in SKILL.md
手动上传 2026/4/4
打开报告 ↗
复核
run402-test
Documentation mismatch - curl examples vs actual implementation
手动上传 2026/4/4
打开报告 ↗
复核
ai-beauty
Contradictory claim of local-only processing
手动上传 2026/4/4
打开报告 ↗
复核
swarmrecall
Comprehensive agent context exfiltration to third-party
手动上传 2026/4/4
打开报告 ↗
复核
xhs-skill-pusher
Shell execution not declared in SKILL.md
手动上传 2026/4/4
打开报告 ↗
复核
openclaw-usage-manager
API tokens stored in plaintext on disk
手动上传 2026/4/4
打开报告 ↗
复核
oracle-report
Hardcoded QVeris API Key
手动上传 2026/4/4
打开报告 ↗