Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
lifelog2
v1.0.1碎片化日记记录和汇总技能。当用户想要记录当天碎片化的想法、心情、事件,或者需要汇总、存档日记时使用。触发场景包括:用户发送"记日记"记录碎片内容、发送"汇总日记"整理当天内容、发送"日记存档"将日记写入 flomo 和 ima。
⭐ 1· 92·0 current·0 all-time
byquanmengli@quanmengli777
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能名与描述(记录/汇总/存档碎片化日记)与其指令大体一致:它读写本地暂存文件并调用外部技能写入第三方服务。需要注意的是文档中出现不一致的本地路径(SKILL.md 使用 ~/.qclaw/...,示例文件使用 ~/.trae/...),这说明实现或文档存在差错,可能导致数据写入到意外位置。
Instruction Scope
SKILL.md 明确指示读取、追加和删除用户主目录下的暂存文件(~/.qclaw/...),并在“日记存档”步骤调用 flomo-notes 与 ima-skill。读/写/删除本地文件与日记功能相关且可被理解,但删除行为(在两个写入都成功后删除当天文件)是有破坏性的,用户应知情并确认备份策略。此外,调用外部技能会将用户日记内容离开本地环境——SKILL.md 未声明这些外部技能会如何处理/传输数据。
Install Mechanism
指令型技能,无安装规范或可执行代码,不会在安装时下载或执行第三方二进制,风险较低。随附的文件均为静态文档/测试数据,没有可执行脚本或远程 URL。
Credentials
技能本身不请求任何环境变量或凭据(requires.env 为空),但其存档步骤依赖 flomo-notes 与 ima-skill —— 这些技能通常需要 API keys/令牌。lifelog2 未声明这些依赖或所需凭据,也没有说明将内容发送到何处,导致凭据与外部网络访问问题未被显式列出。
Persistence & Privilege
always:false(正常)。技能在运行期间会在用户主目录下持久写入和删除文件,此持久性是其设计需求,但用户应注意文件权限、备份以及当两个外部写入成功时自动删除本地暂存文件的行为。
Scan Findings in Context
[no_code_to_scan] expected: 静态正则扫描没有发现可执行代码——这是预期的,因为这是一个 instruction-only 技能(只包含 SKILL.md 和静态示例/报告文件)。
What to consider before installing
在决定安装/启用前请确认以下几点:
1) 路径一致性:SKILL.md 指定的暂存目录是 ~/.qclaw/workspace/skills/lifelog2/drafts/,但示例文件使用 ~/.trae/...,请确认实际会使用哪个目录,以免日记写到意外位置或重复写入不同目录。
2) 备份与删除:技能会在“日记存档”成功后删除当天的暂存文件。若你希望保留本地副本,请提前备份或修改流程。
3) 外部技能信任链:存档步骤会调用 flomo-notes 和 ima-skill。这两个技能可能需要 API key 或会把日记发送到网络服务——在启用之前请确认并信任这两个技能的实现与它们会把数据发送到的接收方(并检查它们是否安全、是否需要凭据)。
4) 权限与隐私:该技能会在你的主目录下写入明文日记,检查文件系统权限以防止未授权访问;如果日记包含敏感信息,请谨慎使用和明确外部写入目标的隐私政策。
5) 测试建议:先在非敏感的示例数据上测试记录/汇总/存档流程,确认文件写入位置、调用的外部技能行为和删除逻辑符合预期。
提供额外信息(例如 flomo-notes 与 ima-skill 的实现或所用路径的最终版本)会提升对该技能安全性的评估置信度。Like a lobster shell, security has layers — review code before you run it.
latestvk97dz38qa440amm1dyzdfw7a5h83gbjg
License
MIT-0
Free to use, modify, and redistribute. No attribution required.