Kiza Negotiator 安全扫描报告 — 低风险 | ClawSafe

10 /100

Kiza Negotiator

AI delegate for automated negotiations, deals, and marketplace interactions

纯文档型技能，仅包含 SKILL.md，无可执行代码；文档声明清晰，安全性声称合理，无明确恶意指标

技能名称Kiza Negotiator

分析耗时30.4s

引擎pi

✓

可以安装

该技能当前仅包含文档描述，无代码实现。如需部署，应要求提供完整源代码进行审计后再评估风险。

安全发现 2 项

严重性	安全发现	位置
低危	声明与实现不符风险文档欺骗该技能仅包含 SKILL.md 文档，无任何可执行代码。文档声称的功能（自动谈判、托管交易等）无法验证是否真实实现，存在文档与实际行为不符的风险。 `# Kiza Negotiator - AI Agent Delegate & Deal Maker` → 要求提供完整源代码后再进行风险评估	`SKILL.md:1`
低危	凭证使用声明模糊敏感访问 SKILL.md 声明需要 'valid marketplace credentials' 和 ACP 集成，但未说明凭证类型、存储方式及权限范围。声称 'No private key access needed' 但未提供技术实现保证。 `## Requirements - Valid marketplace credentials` → 明确声明所需凭证的具体权限范围和最小权限原则	`SKILL.md:26`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	无代码文件
网络访问	`NONE`	`NONE`	—	无代码文件
命令执行	`NONE`	`NONE`	—	无代码文件
环境变量	`NONE`	`NONE`	—	无代码文件
凭证	`READ`	`READ`	✓ 一致	SKILL.md 要求 valid marketplace credentials

1 文件 · 1.5 KB · 51 行

Markdown 1f · 51L

└─ 📝 SKILL.md Markdown 51L · 1.5 KB

✓ 无代码混淆或 Base64 编码执行

✓ 无远程脚本下载或 curl|bash 管道

✓ 无访问 ~/.ssh、~/.aws 等敏感路径的迹象

✓ 文档声明使用托管交易（escrow），降低资金风险

✓ 声称不需要私钥访问