by 安全扫描
OpenClaw
安全
medium confidence技能声明、请求资源和运行时指令内部一致(仅指令的视觉质检,生成结构化 JSON),但 SKILL.md 较为高层,未明确指定重要操作细节(图像如何处理、推理在哪里运行、数据如何处理)。
评估建议
该技能在基于摄像头的质检方面表现一致,输出清晰的 JSON schema,但在安装前需要确认以下操作细节:(1) 图像在哪里处理——在 agent 运行时本地处理还是发送到外部 API?如果是外部处理,需请求端点地址和所需凭证,并确认是否已声明。(2) 向作者请求实际使用的模型/代码(仓库链接或容器)。没有代码无法审计推理行为或数据处理。(3) 考虑隐私问题:摄像头图像可能包含人物或敏感场景——需确认存储、保留和传输策略是否可接受。(4) 如果允许自主运行,需注意 agent 可能会选择调用外部服务;如有关注,请限制网络访问或要求外部调用需明确审批。(5) 先用非敏感样本图像测试,并请求技术 README 描述模型、延迟、预期错误率和失败模式。如需更强保障,请向发布者请求提供实现(代码或容器)以便进行安全审查。...详细分析 ▾
✓ 用途与能力
名称、描述、README 和 SKILL.md 均描述相同的视觉质检用例(xbot.coffee Lite 的摄像头图像检测)和所需输出。技能未请求无关的凭证、二进制文件或配置路径。
ℹ 指令范围
SKILL.md 指定了检测类别和精确的 JSON 输出 schema,但较为高层,未指导如何执行推理(无模型、无阈值、无预处理),也未说明图像应在本地处理还是发送到外部服务。这种模糊性赋予执行 agent 广泛的自主权来决定图像的处理方式和位置,存在隐私和数据泄露的隐患。
✓ 安装机制
纯指令型技能,无安装步骤和代码文件。安装程序不会向磁盘写入任何内容,降低了安装风险。
✓ 凭证需求
未请求环境变量、凭证或配置路径——与声明的用途相称。注意:实际上图像处理通常需要模型或外部 API 及凭证(此处未声明)。如果 agent 使用外部视觉 API,则需要额外的密钥,应明确声明。
✓ 持久化与权限
技能非始终启用,不请求持久的系统级权限。它可由用户调用,并可按平台默认设置自主运行,这对技能来说是正常的。没有迹象表明它会修改其他技能或全局配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/27
- xbot-camera-qc-pro 首次发布 (v1.0.0)。- 为 xbot.coffee Lite 提供专业视觉质检,支持检测饮料容量、屏幕状态、桌面清洁度、机械臂状态、设备清洁度、环境清洁度及害虫存在情况。- 输出结构化英文 JSON,便于无缝 API 自动化。- 专为咖啡质检、视觉和自动化场景设计。
● 无害
安装命令 点击复制
官方npx clawhub@latest install xbot-camera-qc
镜像加速npx clawhub@latest install xbot-camera-qc --registry https://cn.clawhub-mirror.com
技能文档
Detection Rules
- drink_status: normal / insufficient / overflow / foreign_object / spill_outside
- screen_status: normal / off
- table_clean: normal / dirty
- robot_arm: normal / abnormal
- equipment_dirty: normal / dirty
- environment_clean: normal / messy
- pest: none / found
Output JSON
{
"drink_status": "...",
"screen_status": "...",
"table_clean": "...",
"robot_arm": "...",
"equipment_dirty": "...",
"environment_clean": "...",
"pest": "...",
"has_anomaly": true/false,
"alert_msg": "..."
}
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制