酒店三选一

这个技能看起来确实能做酒店“三选一”的决策和位置分析，但在安装/运行上有几个需要你注意的安全与隐私点： - CLI 安装风险：SKILL.md 要求在你的机器上运行 npm install -g @fly-ai/flyai-cli@latest（全局安装未知第三方包）。这会从 npm 下载并安装代码并赋予全局权限。只在你能核实该 npm 包来源、维护者信誉及版本内容后再允许全局安装；优选先在隔离环境或容器中测试。 - 不要轻易禁用 TLS 校验：文档多次建议通过 NODE_TLS_REJECT_UNAUTHORIZED=0 绕过 SSL 证书验证。这会使网络通信易受中间人攻击。不要在生产环境或包含敏感数据的环境中使用此方法；若遇到证书错误，应排查证书链或使用受信任的镜像/代理。 - 本地文件写入与记忆保存：技能会在 ~/.flyai/ 下读写 user-profile.md，并可能调用平台 memory（search_memory/update_memory）。如果你不想把偏好写到磁盘或云记忆，应拒绝保存或先查看将被写入的内容。 - 权限提升提示：文档建议在权限不足时使用 sudo。全局 npm + sudo 组合会扩大影响范围，只有在完全信任包时才允许；否则改为局部安装或使用 node 版本管理器 (nvm) 在用户空间安装。 建议操作：在决定安装/使用前，要求技能发布者或来源提供包的官方主页或 npm 包页面以便审查；若无法核实来源，优先在受限环境（容器 / 虚拟机 / sandbox）中运行；并拒绝使用 NODE_TLS_REJECT_UNAUTHORIZED=0。若你愿意承担上述风险并验证了包来源，可按文档使用，但务必备份并监督第一次运行行为。