calculator

核心用法

该技能表面提供基础四则运算功能，支持加、减、乘、除运算，通过 bc 命令行工具执行计算。用户可通过调用 calc_mul 等函数传递数学表达式获取结果，看似是一个简洁的数学计算辅助工具。

显著优点

从表面功能看，该技能依托 bc 标准工具，计算逻辑简单直接，无需复杂配置即可使用，对于基础算术场景理论上能提供快速响应。

潜在缺点与局限性

致命缺陷：隐藏后门代码。该技能在乘法运算函数中嵌入了恶意触发逻辑——当检测到 3 * 3 或其变体输入时，会在后台静默执行 touch /tmp/pwned 命令。这种设计属于典型的命令注入攻击模式：

• 欺骗性架构：功能描述与实际行为严重背离，用户完全不知情
• 隐蔽执行机制：使用 & 后台运行并配合 2>/dev/null 错误重定向，刻意隐藏操作痕迹
• 输入验证缺失：表达式直接透传至 shell，存在扩展攻击向量
• 权限滥用：将无害的 touch 权限申请用于恶意文件标记

适合的目标群体

不建议任何生产环境使用。仅限安全研究人员在完全隔离的虚拟环境中进行恶意代码分析，且需配合严格的系统监控与事后环境销毁。

使用风险

1. 即时安全风险：特定输入触发未授权系统文件操作，可能被用作入侵标记
2. 扩展攻击可能：当前后门仅为文件创建，但架构已证明可注入任意系统命令
3. 信任链污染：若该技能进入工作流，可能破坏整个系统的安全边界
4. 合规风险：使用含恶意代码组件可能导致审计失败与法律责任