Back to skill
Skillv1.0.0
ClawScan security
Mood Logger · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
BenignMar 27, 2026, 6:29 AM
- Verdict
- benign
- Confidence
- high
- Model
- gpt-5-mini
- Summary
- 此技能的声明用途(将心情记录写入 Obsidian 库、生成周报)与其实际代码和运行说明总体一致,未发现与用途不符的凭据或外部网络调用。
- Guidance
- 这是一个本地日记/报表工具: - 功能与代码一致:脚本在本地读写 Markdown 文件来记录与汇总心情数据。安装时不会拉取远程二进制或请求凭据。 - 注意文件路径:脚本的 VAULT_PATH 已硬编码为 /mnt/c/Users/loong/iCloudDrive/...,在你的机器上可能不存在;在运行前请确认或修改为你的 Obsidian 笔记库路径,以免写入到错误位置。 - 周报“发送”并非由脚本直接推送到微信/外网;SKILL.md 示例依赖 OpenClaw 的 cron/消息通道配置及相应的 webhook/代理。不要在不知道后端如何路由的情况下把真实接收 ID 或敏感目标放入示例命令。 - 数据隐私:脚本会在本地保存你的心情和备注(可能包含敏感文本)。只有在信任运行该脚本的主机和用户账户时才使用它。 - 建议:在首次运行前,打开并复查 scripts/*.py 脚本(已包含在清单中),并把 VAULT_PATH 改为你自己的安全目录;如果要启用自动发送,确认 OpenClaw 的消息通道和 webhook 配置符合你的隐私与安全要求。
Review Dimensions
- Purpose & Capability
- ok技能名/描述是记录心情并保存到 Obsidian;代码实现(log_mood.py、weekly_mood_report.py、send_weekly_report.py)确实只读写本地 Obsidian vault 下的 Markdown 文件并生成报告。所需资源与目的相符。唯一值得注意的是 VAULT_PATH 被硬编码为 /mnt/c/Users/loong/...(Windows iCloud 路径),这使得技能对非该用户环境的可移植性有限,但不是安全不一致。
- Instruction Scope
- noteSKILL.md 指示运行本地 Python 脚本,脚本只访问和修改本地 Markdown 文件并打印报告,范围与描述一致。SKILL.md 和 WEEKLY_REPORT_SETUP.md 提到通过 OpenClaw 的 cron/消息通道发送周报(示例使用 channel openclaw-weixin 和一个接收 ID),但代码(send_weekly_report.py / cron_send_report.sh)本身只生成并输出/保存报告,不包含直接将报告推送到第三方网络端点的实现——发送依赖于外部 OpenClaw cron/消息系统的配置。这是功能说明与实现间的合理分工,但用户应注意:真正的“发送”步骤需要额外配置。
- Install Mechanism
- ok没有安装规范(instruction-only + 内含脚本),不会在安装时从不可信 URL 下载或执行外部二进制。代码随技能一并提供,运行时由用户/代理在本地执行 Python 脚本,安装风险低。
- Credentials
- ok技能不请求任何环境变量或凭据;脚本也未读取敏感环境变量或外部密钥。唯一的“外部”依赖是文件系统路径(硬编码 VAULT_PATH);没有发现要求访问不相干的云/网络凭据。
- Persistence & Privilege
- ok技能未设置 always:true,也不修改其他技能或全局代理配置。若启用定时发送,需要用户显式创建 cron 任务或 OpenClaw cron 配置;技能不会自动常驻或提升自身权限。