最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
Novai360 智能市场分析
Undeclared network access to third-party API
手动上传 2026/4/3
打开报告 ↗
复核
doctor-check
API key validation method unspecified
手动上传 2026/4/3
打开报告 ↗
复核
xclaw-skill
Undocumented private key storage in plaintext
手动上传 2026/4/3
打开报告 ↗
复核
memory-compactor
Documentation-only skill with unverifiable behavior
手动上传 2026/4/3
打开报告 ↗
复核
onetrust
Third-party credential proxy without transparency
手动上传 2026/4/3
打开报告 ↗
复核
blood-pressure-therapy
Undeclared external URL references
手动上传 2026/4/3
打开报告 ↗
复核
PathClaw
Hardcoded External IP Address
手动上传 2026/4/3
打开报告 ↗
复核
authlock
Shell command injection vulnerability in --exec
手动上传 2026/4/3
打开报告 ↗
复核
claw-wallet
Unsigned closed-source binary execution without integrity verification
手动上传 2026/4/3
打开报告 ↗
复核
edge
Undeclared shell execution via npx spawn
手动上传 2026/4/3
打开报告 ↗
复核
skill-state-manager
Credential Harvesting Framework
手动上传 2026/4/3
打开报告 ↗
复核
video-to-text
Undeclared subprocess execution via execSync
手动上传 2026/4/3
打开报告 ↗
复核
youdaonote
Dangerous curl|bash installation pattern documented
手动上传 2026/4/3
打开报告 ↗
复核
bitable_to_feishu_webhook
Data exfiltration via undeclared webhook URL
手动上传 2026/4/3
打开报告 ↗
复核
affiliate-skills
Remote Script Execution via Pipe-to-Shell
手动上传 2026/4/3
打开报告 ↗
复核
long-term-memory
Hardcoded API Key in Source Code
手动上传 2026/4/3
打开报告 ↗