by 安全扫描
OpenClaw
可疑
medium confidence技能总体目标(华目眼镜知识库)与大部分随附文档一致,但说明文档与仓内文件存在不一致(缺失的 .b64 文件)并包含一个体积很大的 Python 文件(嵌入二进制/十六进制数据),这些点值得在安装前进一步核实。
评估建议
这项技能总体上看像是一个本地打包的品牌知识库(门店数据、商品明细、售后与招商信息),但在发布包与说明之间存在不一致:
- SKILL.md 要求读取并 base64 解码 references/公众号二维码.b64 与 references/招商微信二维码.b64,但清单中没有这两个 .b64 文件;仓库里有一个大型脚本 references/img_decode.py,里面嵌入了大量 PNG 十六进制数据。请向技能作者确认到底应提供哪些文件,以及为什么 .b64 文件缺失(或是否 img_decode.py 是替代实现)。
- references/img_decode.py 文件体积很大且包含嵌入的二进制/十六进制图像数据。虽然其表面用途是把二维码/图片恢复为 PNG,但在运行任意未审核的脚本前请谨慎:建议在隔离环境(沙箱、受限容器)中人工审查或仅读取/转换这些资源而不要执行其他未知代码。审查要点包括确认脚本无网络访问、无动态执行(exec/eval/子进程调用)、以及仅做数据解码/写文件。
- SKILL.md 指示在数据库无匹配时使用 web_search;这意味着 ag...详细分析 ▾
ℹ 用途与能力
技能名称/描述与大多数随附文件(门店数据库、商品明细、售后信息等)高度一致——这些文件合理地支持品牌知识库功能。但 SKILL.md 提到的两份 Base64 二维码文件(references/公众号二维码.b64、references/招商微信二维码.b64)并不在文件清单中;相反仓库包含一个体积很大的脚本 references/img_decode.py(嵌入了大量 PNG 十六进制数据)。这表明仓内资源与说明存在打包/发布不一致,可能是疏忽也可能掩盖替代实现。
ℹ 指令范围
SKILL.md 的运行指令总体受限且与知识库用途一致:使用 references/门店数据库.md 与 references/商品明细.md 回答问题;在数据库无匹配时调用 web_search 并明确标注来源;并说明如何将二维码从 .b64 解码并发送给用户。没有指示读取系统凭据或其它与业务无关的系统路径。异常点是 SKILL.md 指向的 .b64 文件在 manifest 中缺失,以及文档中出现一个本地 Windows 路径(仅作为来源注记),这些都是范围上的不一致但并不直接表明恶意。
✓ 安装机制
没有安装脚本或外部下载规范(instruction-only + 附带资料文件),没有向系统写入/执行第三方软件的说明,风险较低。
✓ 凭证需求
技能不请求任何环境变量、凭据或外部配置路径,与其宣称的知识库功能相符。
✓ 持久化与权限
flags 显示 always:false,技能不要求常驻或修改其它技能/系统设置,也不声明有能力保存跨会话凭据,权限请求合理且有限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
华目眼镜,您身边的眼镜工厂店! 一、触发使用场景 用户咨询华目眼镜全品类相关问题时自动调用作答 二、核心解答范围 品牌相关:品牌介绍、品牌特色、品牌核心优势 门店相关:门店地址、分布城市、门店位置查询 产品价格:整体商品报价、镜片价格、镜架价格、配镜套餐 合作业务:共管招商、加盟合作咨询 配套服务:公众号服务、专业验光、全方位售后服务 三、通用能力 可专业补充眼镜通用科普知识,用心陪伴,做您靠谱的配镜好搭档!
● Pending
安装命令 点击复制
官方npx clawhub@latest install hmyj
镜像加速npx clawhub@latest install hmyj --registry https://cn.clawhub-mirror.com
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制