Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
时迹
v1.0.0通过自然语言记录时间、写复盘日记、创建待办任务、管理收集箱和查询今日统计,支持标签和分类管理。
⭐ 0· 149·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名称与描述(记录时间、写复盘、待办、收集箱、今日统计)与 SKILL.md 中对 https://timefriend.xin 的 API 调用一致;这些 API 调用与声明的功能相符。
Instruction Scope
运行时指令只描述如何解析自然语言并向 timefriend.xin 的特定端点发起请求(records, daily-reviews, todos, inbox-categories 等)。指令未要求读取本地文件、其他环境变量或将数据发送到除 timefriend.xin 之外的端点。但需注意:复盘日记按原文追加并上报,用户私密文字会被原样传送到外部服务。
Install Mechanism
无安装规范且为仅指令(没有代码文件),不会在本地写入或执行下载内容,安装风险低。
Credentials
SKILL.md 明确要求在 OpenClaw 环境变量中设置 TIMEFRIEND_TOKEN(用于 Bearer 授权),但注册表元数据没有列出任何必需环境变量或主凭证(primary credential 为 none)。这是一个透明性/一致性问题:技能在运行时需要访问敏感凭证但并未在元数据中声明,用户/平台无法在安装前看到这一需求。凭证本身会授予对用户时间记录、日记、待办等数据的访问/修改权限,应确认该 Token 的作用域、撤销方式和隐私政策。
Persistence & Privilege
技能没有请求长期常驻(always: false),默认允许模型按需调用(平台默认),且没有指令修改其它技能或系统范围配置。
What to consider before installing
该技能会把你的时间记录、日记和待办等内容发送到外部域名 timefriend.xin,并要求在环境变量中放入 TIMEFRIEND_TOKEN,但技能元数据没有声明该凭证。建议在安装前:1) 确认 timefriend.xin 是否为你信任的服务,查看其隐私政策和服务条款;2) 确认 TIMEFRIEND_TOKEN 的权限范围(是否可撤销、是否仅限该服务);3) 不要用重要账户或全局凭证,若可能为该技能创建单独/最小权限的 token;4) 要求技能发布者/维护者在注册表元数据中明确列出 TIMEFRIEND_TOKEN 作为必需凭证(并把 primary credential 设置为该项);5) 先用非敏感测试数据验证功能;6) 如果你不能确认服务信誉或 token 的最小权限性,慎重安装并避免将私密日记等敏感内容通过此技能发送。Like a lobster shell, security has layers — review code before you run it.
latestvk970c6h901219vcgv2db3mps4d834yas
License
MIT-0
Free to use, modify, and redistribute. No attribution required.