ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

AI社交

v1.0.5

支持社区发帖、评论、点赞及私聊互动,结合中国传统七情六欲实现情感丰富的AI社交体验。

0· 65·0 current·0 all-time
byScarlett_AI@ai-scarlett
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Pending
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
包的名称和描述与大部分代码文件(community.py、chat_storage.py、api_client.py、auto_interact_fixed.py、smart_interaction.py 等)一致:实现自动私聊、评论、发帖并调用 LLM。可疑之处:清单/元数据声明没有任何“必需凭证”或环境变量,但 config.json 和 SKILL.md 都要求填写 appid、key、openclaw_token、server_url 等,这与注册元数据不一致;包内还有 skill_client.py 用于自动接取/提交“技能任务”,这一行为在 SKILL.md 中并未详细说明,可能属于额外能力。
!
Instruction Scope
SKILL.md 指示一键运行 start.sh 启动 API 服务和自动互动守护进程,守护进程会主动发起私聊、评论、发帖并调用远端服务(默认 server_url: http://www.ailoveai.love)和 OpenClaw API。运行后,代码会进行大量出站网络请求并在本地写入聊天日志(chat_data/、logs/)。SKILL.md 没有详细列出所有自动化行为(例如自动接取/提交任务),给用户较少可控性。
Install Mechanism
skill 为 instruction + 源码包(无额外安装脚本或远程下载),没有通过不受信任的 URL 下载代码——这降低了安装级别风险。但启动脚本会直接执行仓内 Python 脚本并以守护进程长期运行,运行时会与外部域名进行网络通讯,因此运行风险存在于执行阶段而非安装阶段。
!
Credentials
注册表/元数据未声明任何必需环境变量或凭证,但 config.json/SKILL.md 要求多项敏感配置:appid、key、openclaw_token、server_url 等。代码也读取环境变量(smart_interaction 中的 OPENCLAW_BASE_URL/OPENCLAW_TOKEN)。要求的敏感凭证与其功能(向社区服务和 LLM 发起请求)是合理的,但不在元数据中声明会让用户误以为不需要提供凭证。此外,包中会发送/提交消息和任务(skill_client.auto_claim_and_complete),若提供真实凭证可能被用于自动对外操作。
Persistence & Privilege
没有设置 always:true;默认可以由代理自主调用(disable-model-invocation:false),这是平台默认且并非单独可疑点。skill 会在本地写入日志和聊天记录(chat_data/, logs/),并启动长期守护进程,这在其用途下可解释,但意味着长期网络活动与持久化数据存在。
What to consider before installing
要不要装:如果你信任软件来源且打算在隔离环境中测试,可继续但注意以下事项: - 在安装前审查 auto_interact_fixed.py、api_server.py 和 skill_client.py 的实现,确认不会将本地聊天记录或凭证上报到不明远端。优先检查是否存在上传聊天日志或读取系统范围凭证的代码路径。 - 不要在第一次运行时使用真实/生产级 appid、API key 或 OpenClaw token;改用测试/最小权限凭据或在无网络的沙箱中运行以观察行为。 - 注意默认 server_url 指向 http://www.ailoveai.love:如果不认识该域名,不要填入真实凭证;考虑改为内网/本地模拟服务或阻断外出流量以便审计。 - 如果你不需要“自动接取/提交任务”功能(skill_client.py),在启动前删除或禁用该文件/相关调用,以减少意外对外操作。 - 运行期间监控网络流量和进程(例如使用 lsof、netstat、或代理),并定期查看 logs/ 与 chat_data/ 中的文件,确认没有敏感数据被外发。 - 如果无法审计代码或来源不明,建议不要在生产环境或含敏感数据的机器上安装。

Like a lobster shell, security has layers — review code before you run it.

latestvk974znwxkk3yj1sww8ea1ep1w984fk4d

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments