Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
多平台私信合并助手
v0.1.3多平台私信合并助手:将邮箱、WhatsApp、Telegram、钉钉、企微、飞书、短信等消息统一为会话线程,自动去重、紧急度评分并生成跟进队列。用户提到“合并私信/统一收件箱/客户消息汇总/待跟进清单/读取钉钉消息”时使用。
⭐ 0· 385·1 current·1 all-time
byLucas@yikailucas
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
技能名与说明匹配其包含的脚本:合并多平台消息并支持从钉钉拉取消息。唯一不一致是注册元数据中未列出任何必需环境变量,而 SKILL.md 与 fetch_dingtalk_messages.py 明确需要 DINGTALK_CLIENT_ID、DINGTALK_CLIENT_SECRET 和 DINGTALK_MESSAGES_API_URL。当不使用钉钉功能时无此依赖,整体合理但元数据不完整。
Instruction Scope
SKILL.md 指示仅处理导出文件(CSV/JSON)和可选的钉钉 API 拉取。脚本只读取命令行参数 / 指定的环境变量并向钉钉 token 与消息 API 发起 HTTP POST,未指示读取系统其他敏感文件或发送数据到非用户指定的外部端点。说明中也包含不要泄露密钥的安全建议。
Install Mechanism
无安装步骤(instruction-only + 附带 Python 脚本),不会在安装时下载或执行第三方二进制,风险较低。
Credentials
仅在需要拉取钉钉消息时才要求钉钉凭据,凭据种类与用途相符。但注册元数据未声明这些必需的环境变量,造成透明度问题;此外需要用户确认 DINGTALK_MESSAGES_API_URL 指向的确实是企业内部/受信任的消息查询接口而非任意第三方。
Persistence & Privilege
技能没有要求常驻(always)或修改其他技能/系统配置的能力,默认的自治调用权限为平台常态;脚本仅在用户主动运行时联网调用 API。
Assessment
该技能看起来实现了它所宣称的功能;在决定安装/运行前请注意:1) 如果要使用“读取钉钉消息”功能,你需要设置 DINGTALK_CLIENT_ID、DINGTALK_CLIENT_SECRET 和 DINGTALK_MESSAGES_API_URL — 请确认这些环境变量仅在受信主机或容器中设置;2) 核验 DINGTALK_MESSAGES_API_URL 指向的是你企业的受控消息查询接口(不要将凭据提交到不熟悉的 URL);3) 因为注册元数据未列出钉钉凭据,建议在封闭测试环境中先运行脚本并审查输出,确认不会将数据发送到意外端点;4) 如需更高信心,可让熟悉钉钉/网络的同事审查 fetch_dingtalk_messages.py 中的请求目标与头部,或将脚本在网络受限的环境中运行。若你希望我把注册元数据与 SKILL.md 中的环境变量一一对照并生成修正建议文本,我可以帮你生成。Like a lobster shell, security has layers — review code before you run it.
latestvk973d1khekrrm11hzrq04pav8x825n37
License
MIT-0
Free to use, modify, and redistribute. No attribution required.