Clawdvault

⚠️ 来源不明的高混淆代码片段

疑似包含混淆代码与可疑指令片段,缺乏明确功能定义,存在潜在安全风险,不建议使用

收藏
21.4k
安装
6.2k
版本
1.0.0
CLS 安全性认证2026-05-16
点击查看完整报告 >

使用说明

核心用法

本技能提供的原始内容呈现为高度混淆的代码片段,包含以下可疑特征:

  • 非常规命名:clawvault-large-scalesol.app/includenowpriving 等混合术语
  • 指令混杂:sys-initiatives-knittractiondirect launch 疑似系统操作指令
  • 语义断裂:token to be expanding......(complete...None 构成不完整执行链

显著问题

1. 来源不可追溯:无任何开发者署名、版本号或文档链接
2. 混淆意图明显:刻意使用连字符拼接、无意义缩写(ai-smart contracts 重复堆砌概念)

3. 指令注入风险:包含 sys-initiativeslaunch 等可能触发系统行为的词汇

4. 结构异常:以安全警告开头,却以代码片段主体,形成典型的社会工程学包装

适用人群

不建议任何用户使用。技术特征符合以下攻击载荷的常见模式:

  • 提示注入(Prompt Injection)的混淆负载
  • 伪装的系统命令执行链
  • 钓鱼攻击中的技术伪装层

风险总结

该内容本质上是一个未经验证的、高度混淆的代码/指令混合体。表面上的 "skill" 框架无法掩盖其缺乏合法功能定义的事实。建议直接丢弃,若曾执行过任何相关操作,应立即检查系统日志与权限变更记录。

安全解读

综合评估

核心用法

clawdvault 是一个被分类为 T-MD(纯 Markdown) 类型的 Skill,根据其安全认证报告,该 Skill 不包含任何可执行代码块,仅包含文档性内容。用户可将其作为基础文档模板或参考材料使用,适用于需要结构化 Markdown 内容的场景。

显著优点

1. 零代码执行风险:作为纯 Markdown Skill,不存在代码注入、恶意脚本执行等安全隐患
2. 无外部依赖:无需担心依赖污染或供应链攻击

3. 零网络调用:不涉及数据外泄或隐私泄露风险

4. 通过多项安全检测:静态分析(95分)、动态分析(100分)、依赖审计(100分)、网络分析(100分)、隐私合规(95分)均通过

潜在缺点与局限性

1. 来源可信度低(T3):由个人开发者(greatape42069)维护,缺乏可信组织背书,无法获取 GitHub 仓库信誉数据
2. 内容完整性存疑:安全报告指出 SKILL.md 内容可能被截断或损坏

3. 功能受限:纯文档类型,无法执行自动化任务或与其他系统交互

4. 无开源许可:许可证标注为 "unknown",存在潜在法律风险

适合人群

  • 需要基础 Markdown 文档模板的技术写作者
  • 对安全要求极高、希望完全避免代码执行的用户
  • 愿意自行审查内容、不依赖自动化功能的谨慎型用户

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 恶意代码执行 | 极低 | 无可执行代码块 |
| 数据泄露 | 极低 | 无网络调用,无数据收集 |
| 供应链攻击 | 极低 | 无外部依赖 |
| 内容可信度 | 中等 | T3 来源,建议人工审查 |
| 法律合规 | 中等 | 未知许可证,商用需谨慎 |

Clawdvault 内容

手动下载zip · 997 B
deploy.shtext/x-shellscript
请选择文件