Back to skill
Skillv1.0.0
ClawScan security
个人智能健康管理 · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
ReviewApr 14, 2026, 3:05 AM
- Verdict
- Review
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 技能总体功能与描述一致,但存在多处不一致与安全顾虑(未声明的凭证需求、硬编码飞书密钥、会修改 crontab 并调用外部 API),建议在信任前进一步审查和调整。
- Guidance
- 在决定安装前请注意并采取以下步骤: - 代码中包含对飞书/腾讯文档的外部调用,并在脚本中硬编码了飞书 APP_SECRET/APP_ID。不要在不信任的包里使用这些凭证;要求作者提供说明或自行替换为你自己的应用凭证。 - 元数据没有声明必需的环境变量或外部权限(如 TENCENT_DOCS_TOKEN、FEISHU_USER_ID),但脚本实际上需要它们。确保在安装前了解并同意将哪些令牌/ID 提供给该技能。 - 激活脚本会修改用户 crontab(添加定时任务)。如果你不希望技能在后台长期运行,勿运行 activate 脚本或先手动审查/修改脚本以去除自动写入 crontab 的行为。 - 技能建议安装 feishu-im-read 等第三方 Skills,它们可能具备读取 IM 消息的权限。仅在信任这些 Skills 的来源并理解权限范围时才安装。 - 虽然代码里有简单的“脱敏”正则,但脱敏有限且可能漏报敏感字段。不要将高度敏感的个人健康或身份信息上传到未审计的第三方服务;优先在本地或受控环境中运行。 - 最佳做法:在隔离环境(虚拟机或容器)中先运行并验证功能;将硬编码的 APP_SECRET/ID 移除或替换为你自己的凭证;审查并确认所有第三方 Skill 的权限;备份并在安装前手动检查/同意将要写入的 crontab 条目。 如果你希望,我可以: - 指出代码中所有调用外部网络/写入系统的函数和行数(方便代码审计), - 或帮你生成一个安全化建议清单(替换凭证、最小化权限、禁用自动 crontab)以便安全部署。
Review Dimensions
- Purpose & Capability
- concern技能宣称提供体检分析、OCR、运动计划和本地存储等功能;代码确实包含指标提取、计划生成、打卡管理和提醒发送等模块,但注册元数据没有声明任何必需的环境变量或凭证。实际代码/文档需要访问/配置飞书相关凭证(FEISHU_USER_ID、TENCENT_DOCS_TOKEN),并建议安装其它可读 IM 的 Skills(feishu-im-read)。此外 README/SKILL.md 声称“数据本地存储、不上传云端”,但脚本会调用飞书/Tencent Docs API 并通过外部服务发送/同步数据,和“本地存储”说法不一致。总体上功能与描述匹配,但对外部凭证与外部通信的需求没有在元数据中体现,属于不一致。
- Instruction Scope
- concernSKILL.md 与安装文档鼓励运行一键激活脚本,脚本会:读取/写入本地 config 文件、修改用户 crontab、调用 daily_health_reminder.sh 来通过飞书 API 发送消息、并在某些路径下读写用户数据(data/users、data/checkins)。指令里隐含依赖其它 Skills(feishu-im-read, feishu-doc, autoglm-image-recognition)以读取消息/做 OCR/写文档。代码会访问环境变量(如 TENCENT_DOCS_TOKEN、FEISHU_USER_ID),但这些未在注册信息中声明。SKILL.md 还宣称会脱敏个人信息;代码有简单的正则脱敏,但脱敏有限且未说明边界。总体指令范围包括修改系统定时任务与对外网络交互,超出了仅“分析体检并本地生成”的狭义边界,且权限要求没有透明声明。
- Install Mechanism
- note技能是“instruction-only”但打包了大量脚本和模板,README/DEPENDENCIES 建议通过 pip install -r requirements.txt 并通过 openclaw skills install 安装若干其它 Skills(例如 autoglm-browser-agent、feishu-im-read)。没有远程下载可执行压缩包的高风险安装步骤,但安装建议会引入其它 Skills(这些 Skills 自身可能拥有更高权限,例如读取 IM 消息)。同时启动脚本会向用户 crontab 写入任务(通过 crontab 命令),这是对系统的持久修改,应在安装前让用户知晓并确认。
- Credentials
- concern元数据声明没有必需环境变量,但代码/README 实际要求或使用下列凭证/变量:TENCENT_DOCS_TOKEN、FEISHU_USER_ID;daily_health_reminder.py 还在代码中硬编码了飞书 APP_ID 和 APP_SECRET(APP_ID="cli_a93be6affe785cd9",APP_SECRET="JrMNdAdygP7JZsZOZWCMwcvRs8wisZRR")。硬编码的第三方应用密钥与“本地存储不上传云端”的隐私承诺矛盾:这些密钥可被用来以作者/应用身份向飞书发送消息或访问文档。技能也建议安装 feishu-im-read(会读取 IM 消息)和使用 mcporter 调用 tencent-docs API,这些都是与功能相关但对凭证/消息访问权限敏感的操作。凭证使用与宣称的不透明/不成比例,存在凭证泄露或滥用风险。
- Persistence & Privilege
- concern激活脚本会添加用户 crontab 条目以实现每日提醒(持久存在),SKILL.md 也建议通过 OpenClaw heartbeat 周期性触发消息。长期存在的定时任务本身可接受(用于提醒),但与其他风险要素结合(未声明的/硬编码凭证、推荐安装能读取 IM 的 Skills、向外部 API 发送用户健康数据)会扩大攻击面。技能不会设置 always:true,但会自动配置系统级定时任务,这是一项需要用户明确同意的持久权限。