game-sentiment 安全扫描报告 — 可信 | ClawSafe

0 /100

game-sentiment

Automated game sentiment monitoring skill for mobile/PC games. Scans public feedback across multiple channels, classifies issues, assesses severity, assigns ownership, and generates actionable reports with P1 alerts.

纯文档型技能，仅包含 SKILL.md 及 4 个参考文档，无任何可执行代码或脚本，无法进行恶意行为评估。功能为游戏舆情监测，行为边界清晰，符合合法业务工具特征。

技能名称game-sentiment

分析耗时38.8s

引擎pi

✓

可以安装

技能通过审查。建议：1) 若后续引入脚本代码，需重新审查；2) .credentials/accounts.json 中的凭据应确保 workspace 目录隔离和 .gitignore 排除；3) 监控凭证写入操作确保仅本地存储。

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md: 使用 web_search/web_fetch 采集公开网页内容；Playwright 访问 m.weibo.cn API、游戏评论页等
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md: 写入 config.json、报告 Markdown、数据文件到 {WORKSPACE}/game-sentiment-data/{slug…
浏览器	`WRITE`	`WRITE`	✓ 一致	SKILL.md: 使用 Playwright MCP (browser_navigate/evaluate/snapshot/click/close)，完整声…
环境变量	`NONE`	`NONE`	—	文档未提及环境变量访问，无 os.environ 遍历
技能调用	`NONE`	`NONE`	—	文档描述为独立工具，无跨 skill 调用行为
剪贴板	`NONE`	`NONE`	—	无剪贴板操作声明
数据库	`NONE`	`NONE`	—	无数据库操作
命令执行	`NONE`	`NONE`	—	仅通过 mcporter CLI 调用 Playwright MCP server，无裸 shell 执行

7 项发现

🔗

中危外部 URL 外部 URL

https://console.cloud.google.com/apis/credentials

SKILL.md:37

🔗

中危外部 URL 外部 URL

https://m.weibo.cn/api/container/getIndex?containerid=100103type%3D61%26q%3D

references/channel-strategy.md:55

🔗

中危外部 URL 外部 URL

https://www.taptap.cn/search?kw=

references/channel-strategy.md:74

🔗

中危外部 URL 外部 URL

https://www.taptap.cn/app/

references/channel-strategy.md:78

🔗

中危外部 URL 外部 URL

https://bbs.nga.cn/thread.php?fid=

references/channel-strategy.md:118

🔗

中危外部 URL 外部 URL

https://tieba.baidu.com/f?kw=

references/channel-strategy.md:125

🔗

中危外部 URL 外部 URL

https://search.bilibili.com/all?keyword=

references/channel-strategy.md:157

目录结构

5 文件 · 51.9 KB · 984 行

Markdown 5f · 984L

├─ ▾ 📁 references

│ ├─ 📝 channel-strategy.md Markdown 252L · 14.2 KB

│ ├─ 📝 config-schema.md Markdown 112L · 3.2 KB

│ ├─ 📝 report-template.md Markdown 156L · 4.4 KB

│ └─ 📝 severity-rules.md Markdown 99L · 4.2 KB

└─ 📝 SKILL.md Markdown 365L · 25.9 KB

安全亮点

✓ 纯文档型技能，无可执行代码，安全评估基于声明行为而非潜在执行

✓ 文档结构完整，声明边界清晰（渠道列表、工具使用、数据流向均明确说明）

✓ credential 存储仅限本地 .credentials/accounts.json，无外传路径描述

✓ allowed-tools 映射合理（web_search→network:READ，browser→browser:WRITE），无越权声明

✓ 项目结构规范，用户数据与 skill 代码目录分离（game-sentiment-data/ 在 workspace 层级）

✓ 参考文档覆盖配置模式、渠道策略、判级规则、报告模板，无隐藏功能

✓ 无第三方依赖引入，零供应链风险

✓ 凭据用途明确（NGA 论坛登录、YouTube API），与功能直接相关