旅伴匹配度报告
ReviewAudited by ClawScan on May 10, 2026.
Overview
该技能的旅行匹配功能本身一致,但它要求安装/升级全局 CLI、建议关闭 HTTPS 证书校验,并会保存旅行画像,安装前应仔细确认。
安装或使用前,先确认是否真的需要 FlyAI CLI;不要让代理自动执行 sudo 或全局 npm 安装,也不要用 NODE_TLS_REJECT_UNAUTHORIZED=0 跳过证书校验。若使用画像功能,只保存愿意长期保留的旅行偏好,并了解旅行目的地、日期、预算等信息会用于 FlyAI 搜索。
Findings (3)
Artifact-based informational review of SKILL.md, metadata, install specs, static scan signals, and capability signals. ClawScan does not execute the skill or run runtime probes.
如果该 npm 包或其最新版本存在问题,用户的本地环境可能被安装脚本或后续 CLI 行为影响。
工作流要求在搜索前全局安装或升级未固定版本的 npm 包,并建议 sudo 高权限安装;这会让未随技能审查的外部包影响本地环境。
npm install -g @fly-ai/flyai-cli@latest --registry=https://registry.npmjs.org ... 建议使用 `sudo npm install -g @fly-ai/flyai-cli@latest`
不要让代理自动执行全局或 sudo 安装;应固定 CLI 版本、核验来源,并让用户明确批准安装或升级。
旅行搜索结果或预订链接在不安全网络中更容易被拦截或篡改,用户可能看到不可信的链接。
该指令明确要求在证书失败时关闭 Node.js TLS 证书校验,削弱了 FlyAI 搜索和预订链接获取过程的网络安全保护。
如果遇到 SSL 证书验证失败 错误,需要在命令前加上环境变量:`NODE_TLS_REJECT_UNAUTHORIZED=0 flyai <command>`
不要关闭 TLS 证书校验;应修复证书/网络环境、更新可信根证书,或在用户明确理解风险后才临时排查。
个人旅行偏好可能被后续会话自动使用,带来便利,也可能暴露或沿用过时偏好。
技能会跨会话读取和保存用户旅行画像,包括常驻城市、预算、家庭成员、住宿偏好等;文档说明写入前会提示用户确认。
优先尝试 Qoder Memory(search_memory / update_memory)... 降级使用本地文件 ... `~/.flyai/user-profile.md` ... 用户确认后
仅保存愿意长期保留的偏好;定期检查 Qoder Memory 或 ~/.flyai/user-profile.md,并删除不想保留的信息。