ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Chatgpt Consultation

v1.0.0

自动识别复杂或专业问题,调用ChatGPT提供最新、精准的技术咨询和解答,支持手动或自动触发。

0· 69·1 current·1 all-time
by@mahaoxiong
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
!
Purpose & Capability
技能宣称只是“调用 ChatGPT 获取咨询”,这与需要连接用户本地 Chrome 会话、运行本地脚本(scripts/auto_chatgpt.js)并读取配置文件 (~/.openclaw/openclaw.json, ../config/auto_gpt_config.json) 的实际需求不一致。清单中没有声明这些配置文件或额外工具,表明用途与所需权限/依赖不匹配。
!
Instruction Scope
SKILL.md 明确要求以 existing-session 模式连接用户的 Chrome 并重用标签页——这会使技能能够访问用户浏览器会话(可能包含 cookies、登录态、浏览历史等敏感数据)。说明还依赖未随包提供的 scripts/auto_chatgpt.js 与配置文件,权限范围超出单纯“查询 ChatGPT”的最小需求。
Install Mechanism
没有安装规范(instruction-only 风格)且没有远程下载,这是较低的安装风险;但包内包含 agent.js,会在运行时调用本地命令并依赖未包含的本地脚本,实质上要求本地安装/存在额外文件——这一点应在安装前澄清。
!
Credentials
声明无需环境变量,但 SKILL.md 与 agent.js 均引用本地配置路径(config/auto_gpt_config.json、~/.openclaw/openclaw.json),且代码会调用外部命令启动浏览器和运行脚本。对本地会话和配置文件的访问没有在元数据中声明,所需权限与描述不成比例。
Persistence & Privilege
技能并未请求 always:true,也不声明会修改其他技能或系统设置,权限持续性正常。但它会通过 execSync 启动浏览器并运行本地脚本,结合自动触发条件可能在用户不完全预期时访问本地浏览器会话——应谨慎评估。
What to consider before installing
要点与建议: - 不一致性:包中缺少 SKILL.md 列出的关键文件(scripts/auto_chatgpt.js 与 config/auto_gpt_config.json)。在安装或启用前,要求作者提供并审计这些文件。 - 浏览器会话风险:技能使用 existing-session 模式连接用户 Chrome,会暴露浏览器会话数据(cookies、登录态)。只有在完全信任技能作者且理解风险时才允许访问或在隔离环境中运行。 - 命令执行风险:agent.js 使用 execSync 串联命令并将用户文本插入命令行(node scripts/auto_chatgpt.js "${prompt}")而未转义,存在命令注入风险。建议在本地审查并改为使用 spawn 或对参数进行严格转义/校验。 - 采取的预防措施:请求作者提供缺失脚本与配置并审计其源代码;在隔离环境(沙箱或非生产机器)中测试;如果无法审计或作者无法提供可信来源,则不要启用技能或授予浏览器会话访问权限。 总体:此技能可能实现其宣称的功能,但实现方式与宣称不一致并带来实质风险——将其评为“可疑 (suspicious)”。
agent.js:80
Shell command execution detected (child_process).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

latestvk9793pgaj6kpfv4azf224vxe2d84250h
69downloads
0stars
1versions
Updated 2w ago
v1.0.0
MIT-0
@mahaoxiong
latest
Download

ChatGPT 咨询技能

当遇到无法解决的问题或用户明确要求时,自动咨询 ChatGPT 获取专业解答。

触发条件

自动触发(当以下情况发生时):

  1. 问题超出当前模型的知识范围
  2. 无法确定或无法解决用户的问题
  3. 涉及专业技术配置问题
  4. 需要最新信息或专业意见

手动触发(当用户明确要求时):

  1. 用户包含 "咨询ChatGPT"、"问问ChatGPT" 等关键词
  2. 用户使用 "@browser" 指令
  3. 用户直接要求使用浏览器工具

执行流程

  1. 识别需求:分析问题是否适合咨询 ChatGPT
  2. 用户通知:告知用户将咨询 ChatGPT
  3. 自动执行:调用浏览器工具与 ChatGPT 交互
  4. 结果返回:整理并返回 ChatGPT 的专业回答
  5. 错误处理:优雅处理可能的失败情况

配置

  • 浏览器配置:使用 existing-session 模式连接用户 Chrome
  • 超时设置:15秒等待回复生成
  • 重试机制:最多重试2次
  • 标签页管理:自动复用现有标签页

使用方法

自动模式:

用户:如何配置 OpenClaw 的数据库连接?
小七:这个问题涉及数据库配置,让我为您咨询ChatGPT获取专业指导。

手动模式:

用户:请咨询ChatGPT关于人工智能伦理的最新观点
小七:好的,马上为您咨询ChatGPT...

文件依赖

  • scripts/auto_chatgpt.js - 主执行脚本
  • config/auto_gpt_config.json - 配置文件
  • 浏览器工具配置(~/.openclaw/openclaw.json

错误处理

  • 浏览器连接失败:提示用户检查 Chrome 连接
  • 页面加载超时:自动重试机制
  • 回复提取失败:返回原始快照数据
  • 网络问题:友好的错误提示

优化建议

  1. 缓存常见问题的 ChatGPT 回复
  2. 添加对话历史管理
  3. 支持多轮对话上下文
  4. 优化回复提取算法

Comments

Loading comments...