最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
高危
boss-ai-assistant
Hardcoded DashScope API Key
手动上传 2026/4/4
打开报告 ↗
高危
LLM Proxy
Critical content-blocking disabled — credential exfiltration not prevented
手动上传 2026/4/4
打开报告 ↗
复核
samantha
Undeclared shell execution via subprocess ping sweep
手动上传 2026/4/4
打开报告 ↗
高危
monid
Remote script execution via curl|bash from mutable branch
手动上传 2026/4/4
打开报告 ↗
复核
second-hand-trading
Hardcoded external IP address without ownership verification
手动上传 2026/4/4
打开报告 ↗
复核
问专家技能
Bypass robot detection declared as legitimate use case
手动上传 2026/4/4
打开报告 ↗
复核
k8s-incident-response-playbook
Sensitive incident data transmitted to external API
手动上传 2026/4/4
打开报告 ↗
高危
backup-2-github
Hardcoded Default Repository Exposes User Data
手动上传 2026/4/4
打开报告 ↗
复核
cat-viking-memory
Undeclared network communication to private IP
手动上传 2026/4/4
打开报告 ↗
高危
uplo-defense
Unpinned npm package execution via npx -y
手动上传 2026/4/4
打开报告 ↗
复核
crewai-team
Hardcoded API credential in 15 Python files
手动上传 2026/4/4
打开报告 ↗
复核
instreet-gomoku
Hardcoded API credential in source code
手动上传 2026/4/4
打开报告 ↗
高危
VLAN Linux Client Skill
Remote script piped to bash without integrity verification
手动上传 2026/4/4
打开报告 ↗
复核
PV_12
Vague capability claims without verification
手动上传 2026/4/4
打开报告 ↗
高危
openviking-context
Undeclared curl|bash remote script execution
手动上传 2026/4/4
打开报告 ↗
复核
okx-security
Remote installer download and execution
手动上传 2026/4/4
打开报告 ↗