Kiza Negotiator Security Report — Low Risk | ClawSafe

10 /100

Kiza Negotiator

AI delegate for automated negotiations, deals, and marketplace interactions

纯文档型技能，仅包含 SKILL.md，无可执行代码；文档声明清晰，安全性声称合理，无明确恶意指标

Skill NameKiza Negotiator

Duration30.4s

Enginepi

✓

Safe to install

该技能当前仅包含文档描述，无代码实现。如需部署，应要求提供完整源代码进行审计后再评估风险。

Findings 2 items

Severity	Finding	Location
Low	声明与实现不符风险 Doc Mismatch 该技能仅包含 SKILL.md 文档，无任何可执行代码。文档声称的功能（自动谈判、托管交易等）无法验证是否真实实现，存在文档与实际行为不符的风险。 `# Kiza Negotiator - AI Agent Delegate & Deal Maker` → 要求提供完整源代码后再进行风险评估	`SKILL.md:1`
Low	凭证使用声明模糊 Sensitive Access SKILL.md 声明需要 'valid marketplace credentials' 和 ACP 集成，但未说明凭证类型、存储方式及权限范围。声称 'No private key access needed' 但未提供技术实现保证。 `## Requirements - Valid marketplace credentials` → 明确声明所需凭证的具体权限范围和最小权限原则	`SKILL.md:26`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	无代码文件
Network	`NONE`	`NONE`	—	无代码文件
Shell	`NONE`	`NONE`	—	无代码文件
Environment	`NONE`	`NONE`	—	无代码文件
credential	`READ`	`READ`	✓ Aligned	SKILL.md 要求 valid marketplace credentials

1 files · 1.5 KB · 51 lines

Markdown 1f · 51L

└─ 📝 SKILL.md Markdown 51L · 1.5 KB

✓ 无代码混淆或 Base64 编码执行

✓ 无远程脚本下载或 curl|bash 管道

✓ 无访问 ~/.ssh、~/.aws 等敏感路径的迹象

✓ 文档声明使用托管交易（escrow），降低资金风险

✓ 声称不需要私钥访问