zhang-ma-law 安全扫描报告 — 低风险 | ClawSafe

15 /100

zhang-ma-law

九章并购法律专家V1.1.0 - 并购交易结构设计、尽职调查、交易文件审查

纯文档型法律专家skill，仅包含Markdown格式说明，无可执行代码，metadata中声明了数据收集能力但无恶意行为证据

技能名称zhang-ma-law

分析耗时20.5s

引擎pi

✓

可以安装

该skill为文档定义型，无实际代码执行能力。如需更高安全保证，建议审查使用该skill的AI Agent如何处理DEEPSEEK_API_KEY凭证

安全发现 2 项

严重性	安全发现	位置
低危	数据收集功能未明确说明文档欺骗 metadata.evolution.data_collection=true，但SKILL.md正文未说明数据收集的具体用途和范围 `"data_collection": true` → 在文档正文补充说明数据收集机制，确保用户知情	`SKILL.md:8`
低危	依赖外部API服务供应链该skill依赖DeepSeek R2 API服务，服务可用性和数据处理策略受第三方控制 `DeepSeek R2 推理模型` → 评估DeepSeek服务的数据处理政策	`SKILL.md:4`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	metadata.capabilities:file_read
网络访问	`READ`	`READ`	✓ 一致	metadata.capabilities:web_search
环境变量	`READ`	`READ`	✓ 一致	metadata.requires:DEEPSEEK_API_KEY
命令执行	`NONE`	`NONE`	—	无shell声明

1 文件 · 1.6 KB · 65 行

Markdown 1f · 65L

└─ 📝 SKILL.md Markdown 65L · 1.6 KB

✓ 无可执行代码，无法进行本地恶意操作

✓ 声明的权限有限（file_read/web_search/reasoning）

✓ 功能描述清晰，无明显欺骗性表述

✓ 文档结构规范