开源包装器存在信任风险，主要表现为四个信号：1. 模糊上游归属，未明确依赖的开源项目；2. 使用自有格式增加迁移成本，限制用户选择；3. 渐进引入闭源组件，混淆开源与闭源的界限；4. 借助本地隐私的名义推广云服务，未清晰标示数据处理方式。评估时需关注这些信号。