ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

约面招聘协调虾

v1.0.0

面试邀约自动化协调。核心职责:自动联系候选人并协调面试官时间。业务价值:日程同步——自动查询全员日历空档,实现精准邀约。激活场景:用户提供面试安排表格(Excel/CSV),包含候选人邮箱、面试官信息,要求安排面试、约面试、发面试邀请、协调面试时间、查面试官空闲等。也适用于自然语言如帮我安排这几场面试、把这批候选...

0· 64·0 current·0 all-time
byRicky@tujinsama
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Pending
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
Skill 名称与描述匹配其实际行为:解析候选人表格,查询飞书日程/freebusy,创建会议并发送或生成邮件。调用飞书 API(open.feishu.cn)与邮件发送能力是符合预期的。唯一不一致点是 registry metadata 未声明任何必需环境变量或主要凭据,而 SKILL.md 和脚本明确要求 FEISHU_APP_ID/FEISHU_APP_SECRET(以及可选 SMTP_*)来工作。
!
Instruction Scope
SKILL.md 的运行指令总体限定在调度与邮件发送范围内(解析 Excel/CSV、查用户 open_id、freebusy、创建 event、发送邮件)。但文档/指令直接引用了若干未在元数据中声明的环境变量(FEISHU_APP_ID, FEISHU_APP_SECRET, SMTP_*)和运行时依赖(openpyxl/pandas, smtplib),并指示会引导用户完成 OAuth 授权。脚本会在 /tmp 写入 token 缓存文件,可能在多用户或不安全环境下泄露短期凭据。总体上指令没有超出“日程/邮件”职能,但存在信息披露与凭据处理的实现细节值得关注。
Install Mechanism
这是一个 instruction-only skill with a small helper script; no install spec, no external downloads. 低安装风险;唯一文件是本地 bash 脚本(scripts/feishu-calendar.sh),不会在安装阶段从不明 URL 下载或执行额外代码。
!
Credentials
尽管技能需要访问飞书日历与可能的 SMTP 凭据(FEISHU_APP_ID/FEISHU_APP_SECRET 和可选 SMTP_HOST/SMTP_USER/SMTP_PASS),这些环境变量并未在 registry 的 required env vars/primary credential 中声明——这是不一致且容易误导用户。此外脚本使用应用级 tenant_access_token(基于 FEISHU_APP_ID/SECRET)和在 /tmp 缓存 token;在某些部署环境下这会带来凭据暴露风险。插件优先路径会使用用户 OAuth(user_access_token),这需要用户明确授权。
Persistence & Privilege
Skill 未要求始终启用 (always: false) 并且没有修改其他技能或系统级配置的行为说明。脚本会在运行时在 /tmp 写入短期 token 缓存,但没有持久化到用户配置目录或修改其他技能。
What to consider before installing
要不要安装/启用这项技能前请考虑: - 它确实需要飞书凭据(FEISHU_APP_ID / FEISHU_APP_SECRET)或用户 OAuth 授权以访问日历与通讯录,但这些凭据未在注册表中声明——在提供密钥前确认你信任该技能来源并知道密钥的权限范围。 - 如果使用脚本方式,脚本会将 tenant token 缓存在 /tmp/feishu_interview_token_cache;在多用户或不安全主机上该文件可能被其他进程读取。尽量在受控/隔离环境运行,或修改脚本改为更安全的临时存储方式。 - 如果你不想提供应用级密钥,优先选择插件(openclaw-lark)并通过 OAuth 以用户身份授权;这通常比长期存放 FEISHU_APP_SECRET 更可控。 - 检查并准备好邮件发送配置(SMTP_*)或接受手动发送草稿的流程;确保候选人数据(包含邮箱、姓名等)在合规范围内被处理。 - 建议在受控测试账号上先试运行,核对网络流量仅访问 open.feishu.cn(飞书官方域名)且不向未知第三方上报数据;如果你 require formal approval, have your security/IT team review the FEISHU app permissions and the script before providing secrets. 总体上,这看起来像一个功能齐全但工程上有疏忽(未声明环境变量/凭据与对临时 token 的处理)——更可能是粗心而非恶意,但请在信任并部署前核查凭据处理与运行环境。

Like a lobster shell, security has layers — review code before you run it.

latestvk97fprbfjskjps4c3h7zaxfsfn83q8er

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Comments