ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

flomo笔记打分技能

v1.4.0

随机推送完整flomo笔记供用户按S/A/B/C/D/E评分,记录与学习偏好,形成个性化笔记打分标准。

0· 122·0 current·0 all-time
by@jayshna

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for jayshna/flomo-grading.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "flomo笔记打分技能" (jayshna/flomo-grading) from ClawHub.
Skill page: https://clawhub.ai/jayshna/flomo-grading
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install flomo-grading

ClawHub CLI

Package manager switcher

npx clawhub@latest install flomo-grading
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
技能目标是“随机推送用户的 flomo 笔记并展示完整内容”,这隐含需要访问用户的 flomo 数据(通过 Flomo API 或本地导出文件)。但清单中没有任何环境变量、凭据、配置路径或二进制依赖来实现这一点。README 提到“Flomo MCP API”和“Token: 已配置在 SECRET.md”,但 SECRET.md 不在包内且 skill.json/manifest 未声明任何 required env。这意味着声明的能力与实际所需权限不一致。
!
Instruction Scope
SKILL.md 明确要求读取并展示笔记完整内容、排除已打分项、更新 scoring-history.json、并实时修改 grading-principles.md(使用 edit_file 的 replace/append 模式)。这些指令会读取/写入本地文件(存在于包内的 scoring-history.json、grading-principles.md 可被修改),这是可以理解的。但核心问题在于如何获得“完整笔记内容”——scoring-history.json 中只包含 content_preview(被屏蔽/摘要),无法满足“必须完整展示”的要求。SKILL.md/README 暗示要访问 Flomo API,但没有给出如何认证、也没有声明要向哪些外部端点发送数据;这种模糊性授予了代理很大的自由度(它可能尝试联网、请求凭据或要求用户粘贴数据)。此外 README 中提到的一些隐私文件(如 all_notes_index.json、.scored_ids.txt 等)并未出现在文件清单中,进一步增加不一致性。
Install Mechanism
这是一个 instruction-only 技能(无安装说明、无代码文件要执行),从安装风险角度是低的:没有下载/执行外部归档或第三方包。不过 instruction-only 模式把安全边界转移到运行时的 I/O 和网络调用:缺乏明确声明的网络端点或凭据并不等于安全——相反,它表示在运行时代理可能会尝试以不透明的方式获取数据/凭证。
!
Credentials
技能需要访问用户私人笔记(完整内容),但 requires.env 列表为空,primary credential 也未声明。README 指出“Token: 已配置在 SECRET.md”,但 SECRET.md 不在包内,且 SKILL.md 并未声明需要哪个环境变量名(例如 FLOMO_TOKEN)。这不匹配:访问第三方 API 通常需要明确的凭据声明。scoring-history.json 包含被屏蔽的预览,但 README/README 列表表明可能存在本地未公开的完整历史文件(scoring-history.json 被列为“隐私文件”),处理此类完整笔记会有重大隐私/凭据要求,当前清单未能说明这些需求。
Persistence & Privilege
技能未设置 always:true,也未声明会修改其它技能或系统范围配置;其行为主要是读取/写入技能目录下的文件(grading-principles.md、scoring-history.json)。默认允许代理自主调用(disable-model-invocation:false),这是平台默认行为,并非单独风险信号。但应注意:该技能会自动迭代并‘立即更新’评分原则——如果代理能联网或获得凭据,持续自动更新可能会扩大影响面。
What to consider before installing
要点与建议: 1) 不一致性警告:技能需要访问并展示“完整 flomo 笔记”,但包内没有声明任何用于访问 Flomo 的凭据(例如 FLOMO_TOKEN 环境变量)或网络端点;README 提到 SECRET.md,但该文件未包含在清单中。安装前请向作者确认:如何认证到 Flomo,凭据应以何种方式提供,凭据会不会被上传或共享。 2) 隐私风险:技能会读取/保存完整笔记并把它们作为训练材料来“立即更新”评分规则。确认 scoring-history.json 与 any_notes_index 是否真地只保存在本地并且不会被发送到第三方服务器;如果你有敏感笔记,先不要把它们导入或授权自动访问。 3) 技术细节缺失:要求作者在技能元数据中明确列出所需的环境变量/凭据名称、网络端点(API URL),以及说明会不会与外部服务器通信或仅在本地处理数据。当前缺失这些信息是不合格的工程实践。 4) 版本与文件不一致:注册表显示 v1.4.0,但包内 skill.json 是 v1.3.0;README 列出的隐私文件(如 all_notes_index.json)并不在清单中。要求作者修正并解释差异。 5) 若决定使用: - 只在你能审查并控制凭据存放位置(例如本地 SECRET.md 或明确的 env var 名称)后授权。 - 优先要求作者发布最小权限的访问方式(只读、仅特定笔记集合)。 - 备份你的笔记并在受控环境中先行测试,确认技能不会向外部 URL 上传完整笔记内容。 总结:技能目的合理(帮助你给 flomo 笔记打分并学习偏好),但当前包在“如何安全获取完整笔记”这一关键点上自相矛盾——在作者修正并明确凭据/网络行为前,建议将其标记为可疑并谨慎对待。

Like a lobster shell, security has layers — review code before you run it.

flomovk975xbdt429k9j20gadvz5eqbd85kt0qgradingvk975xbdt429k9j20gadvz5eqbd85kt0qlatestvk975xbdt429k9j20gadvz5eqbd85kt0qnote-takingvk975xbdt429k9j20gadvz5eqbd85kt0q
122downloads
0stars
5versions
Updated 2d ago
v1.4.0
MIT-0
@jayshna
flomogradinglatestnote-taking
Download

flomo笔记打分技能

功能描述

随机推送flomo笔记让用户打分,持续学习用户的打分偏好,动态更新"好笔记"评判标准。

核心文件

文件用途
grading-principles.md打分原则(核心输出,持续迭代)
scoring-history.json打分历史记录
SKILL.md本文件,技能定义

游戏流程

1. 启动时

  • 读取 grading-principles.md,理解当前的打分标准
  • 向用户简述当前学习进度(如"已学习50篇打分")

2. 推送笔记

  • 从用户的所有flomo笔记中随机选择一篇(排除已打分的)
  • 必须完整展示笔记内容,不能截断或省略,否则用户无法准确打分
  • 展示格式: 
    Note #序号
[完整内容,不截断]

📅 创建时间 | 📝 字数 | 🏷️ 标签

2.5 给出打分建议(重要)

在展示笔记后,根据 grading-principles.md 中的打分原则,给出系统建议的评分:

建议格式:

**🤖 打分建议:X**

**理由:**
- ✅ 符合原则A
- ✅ 符合原则B
- ❌ 缺少某要素
- ❌ 另一个不足

**与相邻分数的差距**:说明为什么是X而不是X+1或X-1

建议依据:

  1. 匹配 grading-principles.md 中的各分数特征
  2. 对比历史打分中相似笔记的得分
  3. 分析笔记的核心价值点

3. 等待打分

用户可以选择:

  • S - 极品笔记,值得反复回味
  • A - 优秀笔记,有独特价值
  • B - 良好笔记,有一定价值
  • C - 普通笔记,价值一般
  • D - 较差笔记,价值较低
  • E - 垃圾笔记,应删除或改进
  • Q - 退出游戏

用户可附带打分理由(如"S,亲身经历总结")

4. 记录与学习(核心)

每次打分后:

  1. 记录打分历史scoring-history.json
  2. 分析是否符合现有原则
    • 如果符合已有原则 → 确认模式
    • 如果发现新模式 → 立即更新 grading-principles.md
  3. 给出学习反馈(可选):
    • "发现新规律:XXX = A分"
    • "确认已有模式:S = 亲身经历总结"

5. 批量更新检查点

每打分10篇后,进行系统性原则更新:

  • 统计各分数段的占比变化
  • 发现新的打分路径
  • 提炼新的改进建议
  • 更新"打分逻辑总结"表格

6. 循环继续

自动推送下一篇随机笔记,直到用户退出或切换话题。

打分原则更新规则

触发更新的情况

  1. 发现新的高分路径:用户给出一个新理由,不在现有原则中

    • 如:首次出现"情绪价值 = A分"

  2. 发现新的低分模式:用户识别出新的垃圾笔记类型

    • 如:首次出现"收藏癖 = E分"

  3. 分数边界变化:用户修正对某类笔记的评分标准

    • 如:从"鸡汤 = C"改为"鸡汤 = D"

  4. 数量统计变化:各分数占比有明显变化

更新方式

使用 edit_file 工具的 replace_oneappend 模式:

  • 新增打分路径 → append 到对应分数段落
  • 修正已有描述 → replace_one
  • 更新统计数据 → replace_all

打分原则摘要(当前版本)

详细内容见 grading-principles.md

S分(极品)

  • 亲身经历总结,经验汇总
  • 独特观点,反常识洞察

A分(优秀)

  • 独立思考 + 具体场景
  • 底层道理,长期有效
  • 情绪价值,勾起美好回忆
  • 真情实感的事件
  • 正确且可执行的道理
  • 能触发思考的有效建议

B分(良好)

  • 有价值观点,但缺乏实践/场景支撑
  • 有用的tips/建议
  • 有趣的社会现象

C分(普通)

  • 鸡汤(有道理但无详情)
  • 日常记录,没有提炼
  • 玄学
  • 未证实的碎片案例

D分(较差)

  • 纯吐槽/情绪,连记录都算不上
  • 图片笔记无文字说明(信息丢失)

E分(垃圾)

  • 过时/失效信息
  • 收藏癖内容(存了不看)
  • 负价值信息噪音

执行指令

当用户说"笔记打分"、"flomo打分"、"继续打分"时启动:

  1. 读取 grading-principles.mdscoring-history.json
  2. 获取随机笔记(排除已打分的)
  3. 展示笔记内容
  4. 等待用户打分
  5. 记录打分,分析并更新原则
  6. 继续下一篇

注意事项

  • 展示完整内容:不要截断笔记
  • 记录打分理由:用户的理由是学习的关键
  • 即时反馈新发现:发现新规律时告知用户
  • 排除已打分笔记:从 scoring-history.json 获取已打分的 note_id
  • 原则持续迭代:这是本技能的核心价值,不是一次性产出

Comments

Loading comments...