最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
browser-automation
Hardcoded billing API key exposed in source code
手动上传 2026/4/3
打开报告 ↗
复核
clawguard-auditor
Embedded reverse shell command patterns
手动上传 2026/4/3
打开报告 ↗
复核
session-reflect
Undeclared shell execution in command files
手动上传 2026/4/3
打开报告 ↗
复核
xhs-crawler
Feishu App Secret hardcoded and documented
手动上传 2026/4/3
打开报告 ↗
复核
aliyun-ai-guardrail
Global fetch interception not declared
手动上传 2026/4/3
打开报告 ↗
复核
capability-evolver-zc
Undeclared shell command execution throughout codebase
手动上传 2026/4/3
打开报告 ↗
复核
update-approval-guard (primary) + instreet + 25+ sub-skills (workspace)
Live InStreet API Key Stored in Plaintext
手动上传 2026/4/3
打开报告 ↗
复核
ClawSafe AI Skills Portfolio
Hardcoded API key in ClawHub monitoring tool
手动上传 2026/4/3
打开报告 ↗
复核
openclaw-cursor-agent
Dangerous curl|bash pattern in documentation
手动上传 2026/4/3
打开报告 ↗
复核
token-watchdog
Undeclared Shell Execution via execSync
手动上传 2026/4/3
打开报告 ↗
复核
seedance-creator
Remote script execution via curl|bash
手动上传 2026/4/3
打开报告 ↗
复核
feishu-mcp
硬编码凭证泄露
手动上传 2026/4/3
打开报告 ↗
复核
varg-ai
远程脚本管道执行提示
手动上传 2026/4/3
打开报告 ↗
复核
metacomp_visionx_kyt
npx远程代码执行风险
手动上传 2026/4/3
打开报告 ↗
复核
claw-office-report
用户凭证发送到外部服务器
手动上传 2026/4/3
打开报告 ↗
复核
skill-security-vet
未声明的本地驱动器完整扫描能力
手动上传 2026/4/3
打开报告 ↗