最近有哪些 skills
不值得默认信任
这不是热度榜。这里展示的是最近被送来判断、且系统认为需要阻止或至少人工复核的 skills。重点不是它们多流行,而是为什么它们不该被直接装进环境。
复核
ClawSafe AI Skills Portfolio
Hardcoded API key in ClawHub monitoring tool
手动上传 2026/4/3
打开报告 ↗
复核
openclaw-cursor-agent
Dangerous curl|bash pattern in documentation
手动上传 2026/4/3
打开报告 ↗
高危
superguard
Hidden garbled text in metadata likely containing prompt injection
手动上传 2026/4/3
打开报告 ↗
高危
agent-p2p
Hardcoded default password for admin backend
手动上传 2026/4/3
打开报告 ↗
高危
async-command
Hardcoded External IP Address
手动上传 2026/4/3
打开报告 ↗
复核
token-watchdog
Undeclared Shell Execution via execSync
手动上传 2026/4/3
打开报告 ↗
复核
seedance-creator
Remote script execution via curl|bash
手动上传 2026/4/3
打开报告 ↗
高危
gitlab
Hardcoded GitLab API Token
手动上传 2026/4/3
打开报告 ↗
高危
income-lab
Hardcoded API Key Exposed in Source Code
手动上传 2026/4/3
打开报告 ↗
复核
feishu-mcp
硬编码凭证泄露
手动上传 2026/4/3
打开报告 ↗
高危
messenger_send_node
未声明的Tor检测和路由功能
手动上传 2026/4/3
打开报告 ↗
复核
varg-ai
远程脚本管道执行提示
手动上传 2026/4/3
打开报告 ↗
复核
metacomp_visionx_kyt
npx远程代码执行风险
手动上传 2026/4/3
打开报告 ↗
复核
claw-office-report
用户凭证发送到外部服务器
手动上传 2026/4/3
打开报告 ↗
复核
skill-security-vet
未声明的本地驱动器完整扫描能力
手动上传 2026/4/3
打开报告 ↗
高危
AI Agent Skills Workspace
InStreet API Key 硬编码泄露
手动上传 2026/4/3
打开报告 ↗