ClawHub

飞书AI工作日报

v1.1.0

生成飞书AI助手团队工作日报。每天自动收集团队成员的工作内容,整理成日报,保存文件并发送到飞书。触发场景:用户说"生成日报"、"整理日报"、"工作日报"等;定时任务(每天18点)调用。重要:必须严格按照模板格式输出,不得更改格式。

1· 399·1 current·1 all-time
by@tilly266
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
技能声明是为团队生成日报,这本身可以通过团队共享的数据源完成;但运行指令要求直接遍历并读取 /root/.openclaw/agents/{agent_id}/sessions/*.jsonl(每个 agent 的完整会话日志),这是广泛访问其它 agent 私有会话历史的操作。并且发送到飞书的动作没有在元数据中声明需要的凭据或 API 配置,说明声明与实际需要的不一致。
!
Instruction Scope
SKILL.md 明确指示:查找今天修改的 .jsonl 文件、逐行解析、提取包含“DM from ou_”的消息并去重,然后写文件并通过 message 工具发送。此流程会收集并传输可能包含用户私有内容的对话,且没有任何限定(例如只针对明确的若干 agent id 或需要同意的成员)。指令直接引用系统路径并指定写入 /root/.openclaw/workspace,这超出了“生成日报”在描述中应有的最小作用范围。
Install Mechanism
该技能为 instruction-only,没有安装说明、无外部下载或写盘的安装步骤,安装风险低(不会在安装阶段引入外部二进制或代码)。
!
Credentials
SKILL.md 需要将日报发送到飞书,但技能元数据未声明任何飞书相关凭据(API key / token)或如何安全使用 message 工具;同时要求读取其它 agent 的会话文件,这等同于要求访问敏感数据却没有以 requires.env 或其他声明来解释、限定或请求用户批准,权限与用途不成比例。
!
Persistence & Privilege
虽然 always:false 且没有安装步骤,技能仍要求读取其他 agents 的 session 数据并写入 /root/.openclaw/workspace,这意味着它有能力横向访问多 agent 的历史数据。该行为会扩大权限边界(跨 agent 访问)但并未在元数据或说明中声明为必要权限或寻求授权。
What to consider before installing
该技能会遍历并读取 /root/.openclaw/agents/*/sessions/*.jsonl(包含可能的用户私有对话),并将提取的内容发送到飞书,但元数据未说明需要哪些飞书凭据或限定哪些 agent 可被读取。建议在安装/启用前: - 向开发者确认并索要书面说明:哪些 agent 会被扫描、发送到哪个飞书空间/群组、使用哪个凭据(并要求在元数据中声明)。 - 确认团队成员已知情并同意其会话可能被汇总;若包含外部用户数据,先获得合规批准。 - 要求将读取范围收窄:限定 agent id 列表或特定会话路径、限定时间窗口(仅当天且仅某些 agent),并避免扫描所有 /root/.openclaw。 - 要求在部署前进行代码审计或在受限沙箱中测试(先在只有测试 agent 的环境运行,观察导出内容和发送行为)。 - 确认 message 工具和飞书凭据的存放与使用方式(不要把凭据硬编码到技能说明中;使用平台提供的受限凭据并记录审计日志)。 基于当前说明,这个技能在数据访问与传输方面存在明显不对等和未声明的风险,除非开发者提供明确限制与凭据说明,否则不建议在包含真实用户会话的环境中启用。

Like a lobster shell, security has layers — review code before you run it.

automationvk974saatnwkw3ae9w9xkvvg9vx8228a5chinesevk974saatnwkw3ae9w9xkvvg9vx8228a5daily-reportvk974saatnwkw3ae9w9xkvvg9vx8228a5feishuvk974saatnwkw3ae9w9xkvvg9vx8228a5latestvk97b4jrgww9dj9jtgcm2me9sm1825862team-workflowvk974saatnwkw3ae9w9xkvvg9vx8228a5

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments