skill-search

SUSPICIOUS。该 skill 的声明目的与能力基本一致，但它的核心功能是安装其他第三方 skills，构成高风险的转移信任链。最大问题是从搜索结果直接 git clone 并写入全局技能目录，且缺少发布者验证、commit/tag 固定、校验和或签名检查；同时还会处理来自 GitHub/SkillsMP 的外部内容并具备 Bash/写文件能力。未见明确凭据窃取或异常外传，因此不属确认恶意，但整体属于高风险供应链/技能链安装器。