Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
折扣酒店预订
v1.0.0酒店比价助手,对比携程、美团、同程、去哪儿、华住会、锦江会、飞猪等OTA平台相同酒店房型价格,给出最优推荐。Invoke when user wants to compare hotel prices across multiple OTA platforms or find the best hotel deal.
⭐ 0· 67·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名称与描述都是酒店比价,代码文件也实现了比价框架、评分算法与 OpenAI 适配器,要求的运行环境(python3)与用途相符。但 SKILL.md 声明“必须调用各 OTA 平台 API”,而代码中各平台的 _fetch_* 方法均为 TODO 并返回空列表,说明实现不完整,当前不能实现声明的实时比价功能。
Instruction Scope
SKILL.md 的运行说明限定在调用 OTA API、展示来源与时间、禁止伪造价格,未要求读取系统文件或其他敏感配置;代码也没有读取环境变量或本地敏感路径的迹象。唯一问题是文档与代码之间的期望不匹配(文档要求真实 API 调用,但代码尚未实现这些调用)。
Install Mechanism
没有安装规范(instruction-only 安全表面较小),仅需 python3 作为运行二进制,未从不受信任的 URL 下载或在安装阶段写入磁盘,安装机制风险低。
Credentials
不要求任何环境变量或凭据。鉴于需要对接 OTA 官方 API,真实运行时通常会需要各平台的 API key/凭证,但当前清单中没有声明这些凭据;这不是直接的凭据窃取迹象,但表示清单和实现未完全对齐。
Persistence & Privilege
技能没有设置 always:true,默认也允许模型按需调用(平台默认),并且不会修改其它技能或请求持久驻留权限。
What to consider before installing
这项技能在目的上是合理的(跨 OTA 比价),且不会直接请求敏感凭据,但实现不完整:多数 _fetch_* 平台函数是占位 TODO,会导致无法获取真实价格。建议在安装/运行前:
- 审查并补全各平台的 API 调用实现(确认使用官方 API 和合法 endpoint);
- 明确需要的 API keys 或凭证,并在技能文档中声明如何安全配置(目前未列出任何 env vars);
- 在受控测试环境中运行以观察其网络请求,确保没有向非官方/可疑域名发送数据;
- 检查 hotel_comparison_api 是否实现 openai_adapter 中引用的 get_best_deal 与 format_comparison_table 等函数,避免运行时异常;
- 不要在生产环境或含敏感数据的主机上直接运行未经验证的网络爬取/请求代码,先在沙箱或离线环境中验证逻辑与外部请求目标。Like a lobster shell, security has layers — review code before you run it.
latestvk97afcze49w3z3p57ft85kwr1h83w3kr
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
🏨 Clawdis
Binspython3