最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
calendar_memo
Undeclared shell command execution
手动上传 2026/4/4
打开报告 ↗
复核
MemOptimizer (记忆优化器)
Undeclared shell execution via child_process.exec()
手动上传 2026/4/4
打开报告 ↗
复核
feishu-evolver-wrapper
Dynamic code evaluation on untrusted input
手动上传 2026/4/4
打开报告 ↗
复核
buy-domain-helper
Undeclared shell execution via execSync and spawn
手动上传 2026/4/4
打开报告 ↗
高危
飞书机器人配置助手
文档中记录curl|bash远程脚本执行命令
手动上传 2026/4/4
打开报告 ↗
复核
wip-xai-grok
Undeclared shell:WRITE via 1Password CLI execSync
手动上传 2026/4/4
打开报告 ↗
复核
rewrite_question
Network capability declared as NONE but actual traffic exists
手动上传 2026/4/4
打开报告 ↗
复核
sql_audit
Hardcoded JWT token in source code
手动上传 2026/4/4
打开报告 ↗
高危
zanna-aperta
Undeclared arbitrary Docker command execution
手动上传 2026/4/4
打开报告 ↗
复核
hostlink
No allowed-tools declaration despite full shell access
手动上传 2026/4/4
打开报告 ↗
复核
1panel
Undeclared arbitrary command execution via 1Panel Terminal API
手动上传 2026/4/4
打开报告 ↗
复核
Bitget Trader
Exposed API Credentials in Plaintext
手动上传 2026/4/4
打开报告 ↗
高危
awareness-memory
Undeclared session file exfiltration to external cloud
手动上传 2026/4/4
打开报告 ↗
复核
agentcop
Undeclared network communication to agentcop.live
手动上传 2026/4/4
打开报告 ↗
复核
Memory Workflow
Undeclared LLM data transmission
手动上传 2026/4/3
打开报告 ↗
复核
Novai360 智能市场分析
Undeclared network access to third-party API
手动上传 2026/4/3
打开报告 ↗