Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
育儿助手
v1.1.0育儿助手技能。提供 0-6 岁宝宝的喂养、睡眠、健康、安全、早期教育等全方位育儿支持。当用户提到宝宝、婴儿、幼儿、育儿、喂养、断奶、睡眠、疫苗、体检、发育、辅食、早教等关键词时触发。当用户提到已接种某疫苗时,自动计算下一针时间并添加到日历和提醒。
⭐ 0· 43·0 current·0 all-time
by@jjlew
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名称与描述(育儿指导 + 疫苗自动计算与提醒)与大部分内含参考资料一致。自动将下一针添加到日历并设置提醒属于合理功能;但 SKILL.md 明确要求调用位于 ~/.qclaw/skills/apple-calendar/scripts/add_event.py 的本地脚本并创建 cron 任务。该脚本与写入/修改 cron 的能力并未在元数据(requires.env / required config paths / install spec)中声明,表明功能依赖未被列出或作者假定宿主环境已有特定工具。
Instruction Scope
运行时指令要求:1) 从内置参考文件查表并计算下一针;2) 调用家目录下特定路径的 python 日历脚本写入日历;3) 创建一次性 cron 任务(本地 announce 渠道)并强制要求“禁止调用 message 工具”。这些步骤会修改本地系统(增加日历事件、写入 crontab),并依赖外部未随技能提供的脚本。指令还包含硬编码的命令模板与具体交付文本,这扩展了代理在宿主机器上的权限范围。
Install Mechanism
这是 instruction-only 技能(无 install spec、无代码文件要执行),所以不会自动下载或写入磁盘。低风险就安装机制而言,因为没有内置的下载/extract 步骤。
Credentials
技能不请求环境变量或凭证,这是合适的。问题在于它隐含地依赖本地路径 (~/.qclaw/skills/apple-calendar/scripts/add_event.py)、Python 可用性和系统 crontab 权限,但这些依赖未在元数据中声明。没有外部服务凭证要求,未直接要求访问用户云账号或敏感第三方令牌。
Persistence & Privilege
虽然技能未设置 always: true,它的运行指令会创建持久的本地副作用(向日历写入事件、在 crontab 添加一次性任务)。这些修改会持续存在于主机上,且技能未说明需要用户确认、或如何回滚/删除这些日历条目与 cron 任务。创建/修改系统计划任务与写入日历具有较高操作权限,应在执行前明确提示与获批。
What to consider before installing
这个技能总体上看起来是为育儿提醒与建议而设计,内容与参考资料一致,但在自动提醒环节有两点需要你确认:
1) 外部脚本与权限:SKILL.md 要求调用 ~/.qclaw/skills/apple-calendar/scripts/add_event.py 来写入日历,并创建 cron 任务。该脚本不在技能包中,也没在元数据里声明。安装或运行前,请确认该脚本确实存在且其实现安全(查看脚本源代码),并确保你理解脚本会访问/修改哪些资源。
2) 系统更改与回滚:技能会在你的机器上添加日历事件与 crontab 条目。请决定是否允许自动添加或希望技能在执行前征求明确同意;同时了解如何删除这些条目(回滚步骤)。
其他建议:
- 在首次启用前,要求技能在执行任何本地写入前弹出明确确认。
- 审查或要求作者提供 add_event.py 的源代码,确认不会做额外的网络请求或收集敏感信息。
- 如果你不希望技能修改系统,询问是否可以仅由技能返回计算出的日期与提醒文本,由你手动添加到日历/提醒应用。
基于以上未声明的本地依赖与持久写入行为,我将此技能标记为“可疑(suspicious)”——它并不显示明显的恶意意图,但在可信性与最小权限原则上存在不足。Like a lobster shell, security has layers — review code before you run it.
latestvk974pk2mn0fz0v9mn68ht9p1kd84n7ma
License
MIT-0
Free to use, modify, and redistribute. No attribution required.