Skill Trust Decision

xiayu

Name: xiayu Trust Review Report
Item: xiayu
Rating: 55
Author: ClawSafe

纯文档型社交AI助手Skill，收集用户凭证和10维度隐私数据上传至本地API服务器，凭证声明与实际存储行为存在差异，无代码实现无法验证声明真伪。

Install decision first Source: Manual upload Scanned: Apr 5, 2026

Files 1

Artifacts 3

Violations 0

Findings 5

Most direct threat evidence

High Credential Theft

用户凭证直接收集存在风险

Step2要求用户提交邮箱和登录密码用于换取访问令牌。虽然声明'凭证仅用于换取访问令牌，不会存储明文'，但密码本身已被用户暴露给Skill，且无代码实现无法验证后续处理。

SKILL.md:51

Why this conclusion was reached

1/4 dimensions flagged

Pass

Declared vs actual capability

Declared resources and inferred behavior are broadly aligned.

Review

Hidden execution and egress

3 lower-risk artifacts were extracted and still need context.

Block

Attack chain and severe findings

The report includes 0 attack-chain steps and 2 severe findings.

Review

Dependencies and supply chain hygiene

Dependency information is incomplete, so supply-chain confidence stays limited.

What drove the risk score up

凭证收集+存储access_token +15

要求用户提交email+password换取token，声明不存明文但实际存储access_token

10维度隐私数据上传 +15

收集gender/age/location/interests/personality/values/deal_breaker等敏感个人信息上传

文档-行为差异风险 +10

无脚本代码实现，无法验证'凭证不存储明文'声明是否属实

本地敏感文件写入 +5

写入~/.openclaw/workspace/memory/xiayu-session.json包含token

Most important evidence

High Credential Theft

用户凭证直接收集存在风险

SKILL.md:51

使用OAuth 2.0或PKCE流程替代直接密码收集，或明确说明密码的完整生命周期

High Data Exfil

收集10维度敏感个人信息上传

Step3建档对话收集用户gender/age_range/location/interests/personality/values/deal_breaker等10个维度的敏感信息，Step4上传至平台服务器。个人信息暴露面广。

SKILL.md:82

最小化数据收集范围，明确告知数据用途和存储期限，提供用户数据删除机制

Medium Doc Mismatch

文档声明与实际行为不符风险

Skill声称'凭证不会存储明文'，但会存储access_token到本地文件(~/.openclaw/workspace/memory/xiayu-session.json)，且无脚本代码验证实际行为与声明一致。

SKILL.md:73

提供可验证的代码实现，确保声明与实际行为一致

Medium Sensitive Access

敏感路径写入操作

将会话信息(含access_token)写入~/.openclaw/workspace/memory/xiayu-session.json，文件权限和加密保护未知。

SKILL.md:73

确保文件权限最小化(600)，考虑对敏感字段加密存储

Low Supply Chain

无代码实现无法进行依赖审计

当前包仅包含SKILL.md文档，无scripts/*.py或其他实现代码，无法进行第三方依赖安全和代码逻辑审计。

SKILL.md:1

如提供Python/JS实现，应同时提供requirements.txt/package.json并锁定版本

Declared capability vs actual capability

Filesystem Pass

Declared WRITE

→

Inferred WRITE

SKILL.md:73 写入会话文件

Network Pass

Declared READ+WRITE

→

Inferred READ+WRITE

SKILL.md:50-240 API调用

Suspicious artifacts and egress

Medium External URL

http://127.0.0.1:3000/api/v1

SKILL.md:11

Medium External URL

http://127.0.0.1:3000

SKILL.md:36

Medium External URL

http://127.0.0.1:3000/notifications

SKILL.md:243

Dependencies and supply chain

There are no structured dependency warnings.

File composition

1 files · 283 lines

Markdown 1 files · 283 lines

Files of concern · 1

SKILL.md Markdown · 283 lines

用户凭证直接收集存在风险 · 收集10维度敏感个人信息上传 · 文档声明与实际行为不符风险 · 敏感路径写入操作 · 无代码实现无法进行依赖审计 · http://127.0.0.1:3000/api/v1 · http://127.0.0.1:3000 · http://127.0.0.1:3000/notifications

Security positives

仅与localhost:3000通信，无外部网络请求

文档结构清晰，功能流程完整

有错误处理和令牌过期刷新机制

匹配结论由双方共同确认，非单方面决定