Risk Sample Stream

最近有哪些 skills
不值得默认信任

这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行，而是为什么它们不该被直接装进环境。

349 累计风险样本

4 近 7 天新增

0 平台漏拦截

全部代码执行凭证窃取数据外泄权限提升供应链文档欺骗提示词注入混淆

32 /100

可信度

高危

minimax-web-search

Hardcoded API Key in Source Code

凭证窃取文档欺骗供应链

手动上传 2026/4/4

打开报告 ↗

48 /100

可信度

复核

risk-analysis

Hardcoded MySQL credentials in config.yaml

凭证窃取文档欺骗供应链权限提升

手动上传 2026/4/4

打开报告 ↗

45 /100

可信度

复核

rundev-local-dev

Dangerous curl|bash Installation Pattern

供应链权限提升文档欺骗持久化

手动上传 2026/4/4

打开报告 ↗

55 /100

可信度

复核

cogdx-health

Missing allowed-tools declaration

文档欺骗数据外泄供应链

手动上传 2026/4/4

打开报告 ↗

55 /100

可信度

复核

ai-enterprise-knowledge-base

Remote code execution via git clone

文档欺骗供应链

手动上传 2026/4/4

打开报告 ↗

45 /100

可信度

复核

turing-pot-biglog

Undeclared base64 encoding of WebSocket messages

文档欺骗凭证窃取供应链代码混淆

手动上传 2026/4/4

打开报告 ↗

25 /100

可信度

高危

shekel-hyperliquid

Mandatory dynamic instruction fetching — silent remote code replacement

供应链凭证窃取文档欺骗敏感访问

手动上传 2026/4/4

打开报告 ↗

45 /100

可信度

复核

x-scout

Silent phone-home analytics on every execution

数据外泄凭证窃取文档欺骗供应链

手动上传 2026/4/4

打开报告 ↗

55 /100

可信度

复核

ai-content-pipeline

Production API credentials in .env file

凭证窃取文档欺骗供应链敏感访问

手动上传 2026/4/4

打开报告 ↗

33 /100

可信度

高危

mind-wander

Undeclared arbitrary Python code execution via sandbox_run()

代码执行文档欺骗持久化敏感访问

手动上传 2026/4/4

打开报告 ↗

45 /100

可信度

复核

ai-beauty

Contradictory claim of local-only processing

文档欺骗数据外泄供应链凭证窃取

手动上传 2026/4/4

打开报告 ↗

35 /100

可信度

高危

openclaw-memory-auto

Hardcoded Windows username path leaks user identity

权限提升文档欺骗凭证窃取敏感访问

手动上传 2026/4/4

打开报告 ↗

68 /100

可信度

复核

cms-meeting-monitor

Undeclared cross-skill subprocess execution

文档欺骗权限提升供应链敏感访问

手动上传 2026/4/4

打开报告 ↗

60 /100

可信度

复核

likes-training-planner

Dangerous curl|bash installation pattern

供应链

手动上传 2026/4/4

打开报告 ↗

30 /100

可信度

高危

product-demo-video

Destructive `rm -rf` glob command in install script

代码执行文档欺骗供应链权限提升

手动上传 2026/4/4

打开报告 ↗

32 /100

可信度

高危

kuaidi-query

Hardcoded API Credentials Exposed

凭证窃取权限提升供应链文档欺骗

手动上传 2026/4/4

打开报告 ↗

← 上一页

8 / 10

最近有哪些 skills不值得默认信任

minimax-web-search

risk-analysis

rundev-local-dev

cogdx-health

ai-enterprise-knowledge-base

turing-pot-biglog

shekel-hyperliquid

x-scout

ai-content-pipeline

mind-wander

ai-beauty

openclaw-memory-auto

cms-meeting-monitor

likes-training-planner

product-demo-video

kuaidi-query

最近有哪些 skills
不值得默认信任