Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
本月轻松旅行盲盒
v1.0.0基于用户当前位置,自动推荐三个周边城市作为本月周末出游目的地——筛选条件为「周末天气适宜」,并为每个目的地给出简洁的往返交通安排(高铁/航班)和预订链接。适用于想周末说走就走、但不知道去哪的用户。
⭐ 0· 56·0 current·0 all-time
by@osrange
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能目标是基于用户位置推荐本月适合出游的周末目的地并给出交通与预订链接;SKILL.md 中所有命令(date、flyai search-*)和 package.json 的 @fly-ai/flyai-cli 依赖与此目的相符。要求 node 二进制也合理,因为安装/运行 FlyAI CLI 需要 Node。
Instruction Scope
运行时指令限定为获取当前日期、询问/解析用户位置、调用 flyai CLI 查询天气/车票/航班/景点以及格式化输出;未看到要求读取任意本地文件、环境变量或其他技能的配置,也未指示向未知外部端点发送敏感主机信息。
Install Mechanism
技能为 instruction-only(无 install spec),但 SKILL.md 指示通过 npm install -g @fly-ai/flyai-cli 来安装 CLI。通过官方 npm 注册表安装属于常见做法但有中等风险(会从网络拉取并安装第三方代码,并可能需要 sudo / 全局写权限)。没有使用可疑 URL 或短链,package.json 指定了同一包名,说明意图一致。
Credentials
技能不要求任何环境变量或凭据,所需权限与功能相称。唯一需注意的是 FlyAI CLI 本身可能在运行时要求用户登录或配置 API 密钥(SKILL.md 未说明),这属于 CLI 的独立要求而非该技能直接索取。
Persistence & Privilege
技能未设置 always:true,也不修改其他技能或全局代理配置。唯一的持久性影响是若按指示安装 flyai CLI,会在系统上写入全局 npm 包并可能需要提升权限(sudo);这是正常但应被注意。
Assessment
该技能逻辑自洽:它通过 FlyAI CLI 做实时搜索并要求本地有 Node。安装时会建议运行 `npm install -g @fly-ai/flyai-cli`(可能需要 sudo),这会从 npm 拉取并在系统上写入二进制;在安装前请确认 @fly-ai/flyai-cli 的来源与信任度。注意:FlyAI CLI 可能需要单独登录/配置 API 密钥,SKILL.md 未声明这些凭证;确认任何弹出的授权步骤来自你信任的服务。最后,技能会使用你的位置信息来生成建议——如不想共享精确位置,请在对话中提供模糊城市名或拒绝安装/运行。Like a lobster shell, security has layers — review code before you run it.
latestvk9703e75khwcc0xrbkgk1p4n7s845hak
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
🎁 Clawdis
Binsnode