最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
openclaw-security-auditor
Undeclared filesystem write capability
手动上传 2026/4/4
打开报告 ↗
复核
crewai-team
Hardcoded API credential in 15 Python files
手动上传 2026/4/4
打开报告 ↗
高危
Unknown (E-SafeNet LOCK visible in binary)
Binary content in SKILL.md
手动上传 2026/4/4
打开报告 ↗
高危
aicoin-monitor
SKILL.md claims strict isolation but reads global config file
手动上传 2026/4/4
打开报告 ↗
复核
instreet-gomoku
Hardcoded API credential in source code
手动上传 2026/4/4
打开报告 ↗
高危
VLAN Linux Client Skill
Remote script piped to bash without integrity verification
手动上传 2026/4/4
打开报告 ↗
复核
exploration-mode-skill
Undeclared autonomous execution
手动上传 2026/4/4
打开报告 ↗
复核
jef1test
All API data routed through third-party proxy
手动上传 2026/4/4
打开报告 ↗
复核
gougoubi-activate-and-stake-risklp
Referenced scripts not included in package
手动上传 2026/4/4
打开报告 ↗
复核
PV_12
Vague capability claims without verification
手动上传 2026/4/4
打开报告 ↗
高危
sensitive-profile-audit
Undeclared SHA256 fingerprinting of credential directories
手动上传 2026/4/4
打开报告 ↗
高危
openviking-context
Undeclared curl|bash remote script execution
手动上传 2026/4/4
打开报告 ↗
复核
interactive-infographic
Hardcoded fallback API key in source code
手动上传 2026/4/4
打开报告 ↗
高危
minimax-web-search
Hardcoded API Key in Source Code
手动上传 2026/4/4
打开报告 ↗
高危
minimax-cp
Hardcoded MiniMax API Key Exposed
手动上传 2026/4/4
打开报告 ↗
复核
risk-analysis
Hardcoded MySQL credentials in config.yaml
手动上传 2026/4/4
打开报告 ↗