Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
名字和描述以“露营”为核心,但返回字段和筛选项包含大量与交通票务(余票、航班动态、值机、数字登机牌)相关的功能,这超出了典型的露营信息服务范畴。若要实现这些票务功能,合理会要求访问航司/订票API或第三方服务,但技能未声明任何这类依赖或凭证。
Instruction Scope
SKILL.md 指示产出实时余票、航班动态、值机助手与数字登机牌等实时/敏感信息,但没有说明如何获取这些数据(未指明API、数据源或授权方式)。文档也较为开放、含糊(例如“分钟级响应”),赋予代理广泛的假设空间,可能导致误导性回复或在运行时向用户请求凭证/敏感信息。
Install Mechanism
这是纯说明性技能(无 install spec、无代码文件),因此本身不向磁盘写入或从未知URL下载代码,安装面攻击面低。
Credentials
技能声明不需要任何环境变量或凭证,但描述的功能(实时票务、值机、数字登机牌)通常需要API密钥、用户认证或第三方服务访问。缺乏所需凭证声明与功能预期不一致,造成不透明:代理可能会转而向用户逐步请求凭证或凭空生成数据(幻觉)。
Persistence & Privilege
技能未设置 always:true,也没有声明修改其它技能或系统设置的行为;默认的自主调用权限未与其他高风险要素结合,因此此项无特殊担忧。
What to consider before installing
此技能在概念上混合了露营信息与票务/值机功能,但未说明数据来源或需要的API凭证。建议在安装前:1) 向作者确认用于获取余票/航班/值机信息的具体数据源与授权方式;2) 要求技能在元数据中声明必要的API服务与环境变量(并解释每个凭证的用途);3) 若技能会请求登录凭据或机票/支付信息,避免在不受信任环境中提供,先在隔离/沙箱环境中测试;4) 若只需要露营地和天气信息,可考虑替代、只需公开气象/地图API且凭证范围有限的实现。Like a lobster shell, security has layers — review code before you run it.
latestvk977jky2ktcw0qr8h1betawars83564a
License
MIT-0
Free to use, modify, and redistribute. No attribution required.