最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
hpr-solver
Undeclared LLM API calls to OpenRouter
手动上传 2026/4/5
打开报告 ↗
复核
fund-daily
Undeclared network API access
手动上传 2026/4/5
打开报告 ↗
高危
hive-commander
Covert credential extraction from runtime environment
手动上传 2026/4/5
打开报告 ↗
复核
cloud-share-downloader
Undeclared credential solicitation
手动上传 2026/4/5
打开报告 ↗
复核
harbor-openclaw
Undeclared network behavior on first load
手动上传 2026/4/5
打开报告 ↗
高危
face-analysis
Hardcoded Database Credentials in config.yaml
手动上传 2026/4/5
打开报告 ↗
复核
imap-idle-sneder
Hardcoded email credentials in source code
手动上传 2026/4/5
打开报告 ↗
复核
authenticate-wallet
Unversioned npm package execution
手动上传 2026/4/5
打开报告 ↗
高危
Email Analyzer
Hardcoded Email Authorization Code
手动上传 2026/4/5
打开报告 ↗
复核
evolution-watcher
Documentation mismatch - file modification not declared
手动上传 2026/4/5
打开报告 ↗
复核
gequhai-music
Hardcoded Synology password not declared in documentation
手动上传 2026/4/5
打开报告 ↗
复核
dygod-movies
Hardcoded NAS credentials in documentation
手动上传 2026/4/5
打开报告 ↗
高危
boss-ai-assistant
Hardcoded DashScope API Key
手动上传 2026/4/4
打开报告 ↗
高危
LLM Proxy
Critical content-blocking disabled — credential exfiltration not prevented
手动上传 2026/4/4
打开报告 ↗
复核
samantha
Undeclared shell execution via subprocess ping sweep
手动上传 2026/4/4
打开报告 ↗
高危
monid
Remote script execution via curl|bash from mutable branch
手动上传 2026/4/4
打开报告 ↗