flux-publish

Classificação geral: SUSPICIOUS. A skill é amplamente coerente com o objetivo de abrir cards no Flux a partir de PRs, mas aumenta o risco ao pedir um JWT bruto extraído do navegador e entregá-lo a um script/skill externa não verificada neste conteúdo. Não há evidência clara de exfiltração maliciosa, porém a combinação de credencial sensível + código de terceiro + instalação transitiva justifica cautela.