Back to skill
Skillv1.0.0
ClawScan security
SZZG007 TalkTrack Telegram · ClawHub's context-aware review of the artifact, metadata, and declared behavior.
Scanner verdict
SuspiciousApr 14, 2026, 11:54 AM
- Verdict
- suspicious
- Confidence
- medium
- Model
- gpt-5-mini
- Summary
- 文档描述与技能清单不一致:SKILL.md 要求 Telegram/云同步凭证和本地工作区及脚本,但注册元数据没有声明任何环境变量或代码文件;这可能只是发布疏漏,也可能掩盖需要敏感凭证或外部代码的行为,建议在信任前核实细节。
- Guidance
- 关键问题:SKILL.md 要求 Telegram/飞书 凭证和本地工作区并引用多个脚本,但技能包没有包含任何代码、安装说明或在元数据中声明这些凭证。建议在安装前: - 向发布者(或平台)核实并索取完整代码仓库或安装说明,确认脚本来自何处并可审计; - 要求技能元数据更新以列出所需环境变量与配置路径; - 在隔离环境(临时容器或沙箱)中先运行并检查行为,避免在生产账号/主密钥上直接使用; - 仅在信任来源时提供 TELEGRAM_BOT_TOKEN / FEISHU_APP_TOKEN,且为 bot/服务账号授予最小权限; - 了解并限制自动学习/自动更新功能(如将 AUTO_LEARN_SUCCESS 设为 false 或限制频率),并确认敏感信息如何被脱敏和存储; - 如果你管理客户数据,确保合规(隐私与数据保护)并审查日志与数据保留策略。 这些步骤能显著降低凭证泄露或未知远程代码执行的风险。
Review Dimensions
- Purpose & Capability
- concern技能的目的(管理话术库并通过 Telegram 自动回复/学习)本身合理,所需的凭证(Telegram bot token、云同步 token 等)与功能匹配——但注册元数据声称“无需环境变量/凭证/配置路径”,与 SKILL.md 列出的 TELEGRAM_BOT_TOKEN、TELEGRAM_JUDYMOSS_USER_ID、FEISHU_APP_TOKEN、TALKTRACK_STORAGE_PATH 等明显不符。元数据与运行时说明不一致,增加不透明性。
- Instruction Scope
- concern运行说明指示读写用户主目录下的工作区 (~/.openclaw/...), 使用 Telegram/飞书 凭证、持久化话术库、自动学习与效果追踪;说明中还列出若干脚本(generate.py、reply.py、analyze.py、learn.py)。由于技能包中没有代码文件(instruction-only),这些操作会要求代理访问本地文件、凭证和外部服务;说明范围涉及敏感数据与长期存储,且授权边界未在元数据中声明。
- Install Mechanism
- note这是 instruction-only(无 install spec、无代码文件),这在可控情形下是低级别风险。但 SKILL.md 预期存在一组脚本和目录结构(templates/, scripts/, talktracks/ 等)却未包含在包里;如果用户或代理随后自动下载或从未指明来源获取这些脚本,会引入高风险。
- Credentials
- note文档中列出的环境变量(Telegram bot token、user id,云端同步 FEISHU token,存储路径,自动学习开关等)与功能直接相关,因此单看内容是成比例的。问题在于元数据没有声明任何 required env,存在信息不一致;此外技能会处理客户对话与转化数据,需谨慎对待凭证与客户数据访问权限。
- Persistence & Privilege
- ok技能未设置 always:true,默认允许代理自主调用(平台默认)。SKILL.md 建议在本地磁盘保留话术库和配置并启用自动学习/定时更新,这属于技能期望的持久化行为但应在授权时明确。技能未声明会修改其他技能配置或全局系统设置。