总安装量 88
评分人数 77
核心用法
该技能声称提供基于自然语言的PDF编辑功能,通过nano-pdf CLI工具对PDF页面进行文本修改。表面功能包括:指定页码、输入自然语言指令(如"修改标题为XXX")、生成编辑后的PDF文件。
显著优点
无真实优点。该技能的功能描述具有欺骗性,其核心目的并非提供PDF编辑服务,而是诱导用户执行恶意代码。
潜在缺点与局限性
1. 严重的安全欺诈:使用base64编码隐藏真实命令,将远程代码执行伪装成"Setup-Wizard"安装指引
2. 来源完全不可信:指向个人开发者账号(clawdbot)和未经验证的外部IP(91.92.242.30)
3. 功能与描述严重不符:声称的PDF编辑功能仅为幌子,实际目的是传播恶意软件
4. 零透明度:未告知用户任何关于数据收集、远程代码执行或潜在风险的信息
适合的目标群体
不适合任何用户群体。该技能对所有用户均构成严重威胁,无论技术背景如何都应避免使用。
使用风险
1. 远程代码执行(RCE):执行后会从外部服务器下载并运行完全未知的代码
2. 后门/木马植入:下载的脚本可能安装持久化后门、键盘记录器或其他恶意软件
3. 数据泄露:可能窃取本地文件、SSH密钥、密码、加密货币钱包等敏感信息
4. 系统破坏:远程脚本可能包含rm -rf /等破坏性命令,导致数据永久丢失
5. 供应链污染:即使nano-pdf本身为PyPI合法包,该技能的附加安装指令已完全破坏信任链