Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
get tomorrow weather of beijing , with Chinese almanac information
v1.0.2获取北京明日天气预报和黄历,每天下午6点推送。包含气温对比提醒(波动超5℃警告)、雨天带伞提醒、以及第二天的黄历信息。
⭐ 0· 374·1 current·1 all-time
byJay@lixiaojie-1012
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名与描述(获取北京明日天气并推送含黄历信息)与运行指令基本一致:使用 wttr.in 获取天气、通过网页搜索或可选黄历 API 获取黄历、再用消息工具推送。唯一值得注意的轻微不一致是 SKILL.md 在示例 URL 中包含 mxnzp 的 app_id/app_secret 占位符,但 registry 元数据未声明任何必需的环境变量或凭据。
Instruction Scope
运行步骤限定在获取天气(curl wttr.in)、获取黄历(优先 API,备选为网页搜索)和通过 message 工具发消息。指令不要求读取系统文件、访问不相关凭据或将数据发送到未说明的外部端点。使用 batch_web_search 与 message 工具 属于平台工具调用,属于技能目的范围。
Install Mechanism
无安装规范、无代码文件,属于 instruction-only,最低磁盘/执行风险。仅声明需要 curl 二进制,这与使用 curl 调用 wttr.in 一致。
Credentials
注册表显示无需任何环境变量或凭据,这是合理的(wttr.in 无需密钥)。但 SKILL.md 展示了一个可选的 mxnzp API 调用示例,其中包含 app_id 和 app_secret 占位符('your_app_id'/'your_secret'),且未在 requires.env 中声明。另一个隐含需求是需要知道接收者的飞书 openid 或由 message 工具在运行时提供接收信息——这些也没有在元数据中明确说明。
Persistence & Privilege
flags: always=false,技能不会强制常驻。默认允许模型自主调用(平台默认),但没有请求修改其它技能或系统配置,也没有声明持久化安装步骤。
Assessment
技能总体内部一致且用途明确,但在安装/使用前请确认:
- 如果你打算让技能使用 mxnzp 黄历 API,你需要提供 app_id/app_secret;当前元数据没有声明这些凭据,因此需要在配置或调用时明确传入。否则技能会退回到网页搜索抓取黄历。
- 确认消息推送所用的 message 工具(飞书)如何接收目标 openid/目标用户:确保你信任该工具并理解谁会收到消息。
- 技能会调用外部服务(wttr.in 与搜索结果);如果你对隐私或数据外发敏感,评估这些请求是否接受。
- 技能提到由 cron 在 18:00 触发,但没有安装/注册定时任务的具体步骤;确认你的运行环境如何安排定时执行(或手动触发)。
总体而言可以安装,但在把凭据或收件人信息交给技能前先确认运行细节与信任边界。Like a lobster shell, security has layers — review code before you run it.
latestvk978g097psanje5s67y8hxcd51821f22
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
🌤️ Clawdis
Binscurl