Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
SZZG007 TalkTrack Telegram
v1.0.0统一管理多业务线销售话术,支持JudyMoss Telegram仿真人聊单,自动生成及优化话术提升转化率。
⭐ 0· 37·0 current·0 all-time
by@szzg007
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能的目的(管理话术库并通过 Telegram 自动回复/学习)本身合理,所需的凭证(Telegram bot token、云同步 token 等)与功能匹配——但注册元数据声称“无需环境变量/凭证/配置路径”,与 SKILL.md 列出的 TELEGRAM_BOT_TOKEN、TELEGRAM_JUDYMOSS_USER_ID、FEISHU_APP_TOKEN、TALKTRACK_STORAGE_PATH 等明显不符。元数据与运行时说明不一致,增加不透明性。
Instruction Scope
运行说明指示读写用户主目录下的工作区 (~/.openclaw/...), 使用 Telegram/飞书 凭证、持久化话术库、自动学习与效果追踪;说明中还列出若干脚本(generate.py、reply.py、analyze.py、learn.py)。由于技能包中没有代码文件(instruction-only),这些操作会要求代理访问本地文件、凭证和外部服务;说明范围涉及敏感数据与长期存储,且授权边界未在元数据中声明。
Install Mechanism
这是 instruction-only(无 install spec、无代码文件),这在可控情形下是低级别风险。但 SKILL.md 预期存在一组脚本和目录结构(templates/, scripts/, talktracks/ 等)却未包含在包里;如果用户或代理随后自动下载或从未指明来源获取这些脚本,会引入高风险。
Credentials
文档中列出的环境变量(Telegram bot token、user id,云端同步 FEISHU token,存储路径,自动学习开关等)与功能直接相关,因此单看内容是成比例的。问题在于元数据没有声明任何 required env,存在信息不一致;此外技能会处理客户对话与转化数据,需谨慎对待凭证与客户数据访问权限。
Persistence & Privilege
技能未设置 always:true,默认允许代理自主调用(平台默认)。SKILL.md 建议在本地磁盘保留话术库和配置并启用自动学习/定时更新,这属于技能期望的持久化行为但应在授权时明确。技能未声明会修改其他技能配置或全局系统设置。
What to consider before installing
关键问题:SKILL.md 要求 Telegram/飞书 凭证和本地工作区并引用多个脚本,但技能包没有包含任何代码、安装说明或在元数据中声明这些凭证。建议在安装前:
- 向发布者(或平台)核实并索取完整代码仓库或安装说明,确认脚本来自何处并可审计;
- 要求技能元数据更新以列出所需环境变量与配置路径;
- 在隔离环境(临时容器或沙箱)中先运行并检查行为,避免在生产账号/主密钥上直接使用;
- 仅在信任来源时提供 TELEGRAM_BOT_TOKEN / FEISHU_APP_TOKEN,且为 bot/服务账号授予最小权限;
- 了解并限制自动学习/自动更新功能(如将 AUTO_LEARN_SUCCESS 设为 false 或限制频率),并确认敏感信息如何被脱敏和存储;
- 如果你管理客户数据,确保合规(隐私与数据保护)并审查日志与数据保留策略。
这些步骤能显著降低凭证泄露或未知远程代码执行的风险。Like a lobster shell, security has layers — review code before you run it.
latestvk978hk0pb426m72mfzg7hhcv4584tzkp
License
MIT-0
Free to use, modify, and redistribute. No attribution required.