最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
token-sop
SKILL.md 声称「本地存储不传敏感数据」但默认自动云端上传
手动上传 2026/4/5
打开报告 ↗
复核
imap-idle-sneder
Hardcoded email credentials in source code
手动上传 2026/4/5
打开报告 ↗
复核
Etf
False documentation - no ETF functionality exists
手动上传 2026/4/4
打开报告 ↗
复核
second-hand-trading
Hardcoded external IP address without ownership verification
手动上传 2026/4/4
打开报告 ↗
复核
k8s-incident-response-playbook
Sensitive incident data transmitted to external API
手动上传 2026/4/4
打开报告 ↗
复核
cat-viking-memory
Undeclared network communication to private IP
手动上传 2026/4/4
打开报告 ↗
复核
jef1test
All API data routed through third-party proxy
手动上传 2026/4/4
打开报告 ↗
复核
risk-analysis
Hardcoded MySQL credentials in config.yaml
手动上传 2026/4/4
打开报告 ↗
复核
cogdx-health
Missing allowed-tools declaration
手动上传 2026/4/4
打开报告 ↗
复核
x-scout
Silent phone-home analytics on every execution
手动上传 2026/4/4
打开报告 ↗
复核
ai-beauty
Contradictory claim of local-only processing
手动上传 2026/4/4
打开报告 ↗
复核
gateway-monitor-installer
Undeclared external network access
手动上传 2026/4/4
打开报告 ↗
复核
lessac_offline_voice_system
False claim of offline operation
手动上传 2026/4/4
打开报告 ↗
复核
swarmrecall
Comprehensive agent context exfiltration to third-party
手动上传 2026/4/4
打开报告 ↗
复核
search
Hardcoded API Credential in Source Code
手动上传 2026/4/4
打开报告 ↗
复核
微信助手智能网关 (wechat-ai-bridge)
Undeclared external network communication
手动上传 2026/4/4
打开报告 ↗