携程问道 - AI Travel Assistant
v1.0.1您的全时 AI 旅伴,由携程官方倾力打造,已累计为超 5000 万用户提供解答。无论是预订机酒火车票、定制旅行攻略,还是寻找当地特色玩乐,只需一句话,问道为您轻松安排
⭐ 1· 91·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
技能描述为携程问道的旅行助手,所需的二进制(curl、jq)和一个专用 API key (WENDAO_API_KEY) 与该用途一致,没有要求看起来与描述不符的权限或工具。
Instruction Scope
SKILL.md 明确说明如何用 curl/jq 构造请求并把结果写到 /tmp/wendao-result.md 并显示,指令只涉及 token 与用户查询,未要求读取不相关文件或额外凭据。但它允许用户在对话中直接提供 API key(作为备选),这会把敏感密钥暴露给会话历史与平台日志,存在泄露风险;此外默认“如实展示 API 返回的 Markdown”可能会将第三方链接或不安全内容直接呈现给最终用户,需过滤或审查。
Install Mechanism
无安装规范(instruction-only),不写入磁盘持久化代码,风险较低。所需工具都是常见命令行工具,未指定从不受信源下载代码。
Credentials
只要求单一 API 密钥 WENDAO_API_KEY,与服务用途相称。注意:SKILL.md 同时允许在对话中粘贴 key,这增加了凭据泄露的机会;推荐使用平台/环境变量的秘密存储而非对话粘贴。
Persistence & Privilege
技能未要求始终启用(always: false),也不修改其他技能或系统配置。运行时会在 /tmp 写入响应文件(/tmp/wendao-result.md),这是短期临时文件,但在多租户或不安全环境下应注意临时文件的访问权限。
Assessment
这看起来是一个与携程问道后端通信的说明性技能,整体自洽,但在安装/使用前请注意:1) 优先使用平台的秘密管理(将 WENDAO_API_KEY 放入环境或密钥存储),不要在聊天中粘贴完整密钥,因为对话/日志可能被记录或被其他人查看;2) 验证请求域名严格为官方域名(SKILL.md 建议的 https://wendao-skill-prod.ctrip.com 或官方页面提供的域名),不要改为未核实的 URL;3) 输出的 Markdown 可能包含外部链接或推广内容——在直接向终端用户展示前考虑过滤或摘要,避免自动点击或渲染不可信内容;4) 临时文件位于 /tmp,若运行环境是多租户或具有低隔离性,考虑改用受限目录或内存处理以避免意外泄露;5) 为最小权限原则申请与测试用 key(限制权限/配额、便于泄露后快速撤销),并监控使用量与计费。若可以,请请求额外文档或官方 SDK/接口说明以验证请求格式、域名与返回规范;若你希望更严格的审查(例如审阅平台如何记录会话、/tmp 权限情况或需要对 SKILL.md 做修改),提供这些细节将提升评估置信度。Like a lobster shell, security has layers — review code before you run it.
latestvk97ffq2m4tt1s4dxj0bmvzyq8183nsxf
License
MIT-0
Free to use, modify, and redistribute. No attribution required.
Runtime requirements
✈️ Clawdis
Binscurl, jq
EnvWENDAO_API_KEY