ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

签证时间线

v1.0.2

签证进度规划与提醒助手。输入目的地和出行日期,倒推生成签证办理时间线、材料清单和每步截止日期。当用户提到"签证怎么办"、"签证时间"、"签证材料"、"来得及办签证吗"、"签证规划"、"办签证"时使用。

0· 75·0 current·0 all-time
byhello_hang@hello-ahang
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能声称生成签证时间线、材料清单并可生成机票/酒店预订单;SKILL.md 中大量引用 flyai CLI 的查询命令(keyword-search、search-flight、search-hotel)与用户画像读写逻辑,与功能描述一致。请求本地用户画像文件用于减少重复询问也是功能内可解释的需求。
!
Instruction Scope
SKILL.md 指示在运行时:1) 调用外部 FlyAI CLI(/flyai ... 命令);2) 优先使用内置 search_memory/update_memory 工具,降级为读取或写入本地文件 ~/.flyai/user-profile.md。读取/写入本地用户画像在功能上可接受,但说明包含明确的环境改动建议(全局 npm 安装、使用 sudo)以及一条不安全的 TLS 绕过提示(NODE_TLS_REJECT_UNAUTHORIZED=0),这超出常规“仅查询签证信息”的范围并带来安全风险。
Install Mechanism
技能没有正式的 install spec(instruction-only),但 core-workflow 要求在首次使用时执行 npm install -g @fly-ai/flyai-cli@latest。通过 npm 全局安装第三方 CLI 是常见做法,但会修改系统全局环境(可能需 sudo),属于中等风险。技能没有提供包的审计信息或可信来源证明,用户应先验证该 npm 包的来源与信誉。
!
Credentials
技能本身不要求声明任何环境变量或凭据,但文档建议在遇到 SSL 错误时用 NODE_TLS_REJECT_UNAUTHORIZED=0 绕过 TLS 验证(会全部信任不安全的证书),并建议使用 sudo 安装全局 npm 包。绕过 TLS 验证和建议提升权限对任何需要网络与安装的功能都不是成比例的需求,属于安全红旗。
Persistence & Privilege
技能不会强制常驻(always:false),也不要求修改其他技能或系统配置。唯一的持久化是可选地在用户确认后将旅行画像写入 ~/.flyai/user-profile.md 或通过 update_memory 存入 Qoder Memory,这在功能上是合理且有用户确认流程。
What to consider before installing
这个技能看起来确实是在做签证时间线与材料清单的工作 —— 功能与所需操作总体一致,但安装/运行步骤包含两个需要你注意的安全点: 1) 文档建议用 npm 全局安装第三方 CLI(可能需要 sudo)——这会把外部代码写入你的系统并长期存在。不要在不信任或未经审计的包上执行 sudo npm install -g。建议先在受控环境(如容器或临时虚拟机)中测试,或查验该 npm 包的作者、源码仓库和最新发布记录。 2) 文档直接建议使用 NODE_TLS_REJECT_UNAUTHORIZED=0 绕过 TLS 验证以解决证书错误——这会让所有 HTTPS 请求忽略证书校验,存在被中间人攻击(MITM)的风险。切勿在生产环境或包含敏感数据的环境中使用该方法。若遇到证书问题,应修复根本原因(信任链/代理/网络)或只在离线测试环境下短暂使用。 其它建议: - 在保存任何本地用户画像文件前确认并同意要写入的内容;默认应由用户明确授权后才写入 ~/.flyai/user-profile.md。 - 如果可能,请在隔离环境(容器、虚拟机)中首次运行 flyai CLI 并审查网络请求与行为。 - 若你希望更安全,可要求技能作者提供:npm 包的官方主页/源码仓库链接、包维护者信息、以及不绕过 TLS 的替代错误处理说明。

Like a lobster shell, security has layers — review code before you run it.

latestvk9793yb3byx2bp88z82w26n7gx8453g5

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments