最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
高危
VLAN Linux Client Skill
Remote script piped to bash without integrity verification
手动上传 2026/4/4
打开报告 ↗
高危
openviking-context
Undeclared curl|bash remote script execution
手动上传 2026/4/4
打开报告 ↗
高危
minimax-web-search
Hardcoded API Key in Source Code
手动上传 2026/4/4
打开报告 ↗
高危
minimax-cp
Hardcoded MiniMax API Key Exposed
手动上传 2026/4/4
打开报告 ↗
高危
recruit-email-monitor
Hardcoded QQ Email Authorization Code
手动上传 2026/4/4
打开报告 ↗
高危
shekel-hyperliquid
Mandatory dynamic instruction fetching — silent remote code replacement
手动上传 2026/4/4
打开报告 ↗
高危
Enterprise Security
Undeclared shell execution via execSync
手动上传 2026/4/4
打开报告 ↗
高危
minimal-agent
Unrestricted Arbitrary Command Execution via V1 Mode
手动上传 2026/4/4
打开报告 ↗
高危
maxianer
Undeclared external data transmission
手动上传 2026/4/4
打开报告 ↗
高危
openclaw-memory-auto
Hardcoded Windows username path leaks user identity
手动上传 2026/4/4
打开报告 ↗
高危
deepsafe-scan
Network access not declared in SKILL.md
手动上传 2026/4/4
打开报告 ↗
高危
Bounty Hunter Agent
Hardcoded DeepSeek API Key in Documentation
手动上传 2026/4/4
打开报告 ↗
高危
kuaidi-query
Hardcoded API Credentials Exposed
手动上传 2026/4/4
打开报告 ↗
高危
self-evolution-engine
Hardcoded Billing API Key in Source Code
手动上传 2026/4/4
打开报告 ↗
高危
long-term-memory
Hardcoded API Key in Source Code
手动上传 2026/4/4
打开报告 ↗
高危
nano-banana-pro
Hardcoded DASHSCOPE_API_KEY in _meta.json
手动上传 2026/4/4
打开报告 ↗