by 安全扫描
OpenClaw
安全
high confidence该技能的要求和运行指令与其声明的目的(驱动 gcalcli 读取/创建/删除 Google 日历事件)一致;没有请求或指令似乎与目的无关或过度。
评估建议
该技能看似合理且如其所言,但在启用前请采取几个实际预防措施:(1)确保系统上的 gcalcli 二进制文件是可信的真实工具,并且您自己完成了 gcalcli OAuth 设置;(2)了解文档中关于自动执行无歧义删除/编辑的用户体验选择——如果您更喜欢始终询问,请在使用前编辑 SKILL.md;(3)在非关键日历上测试其行为(创建/删除/验证)后,再使用它在重要日历上;(4)如果您需要审计能力,请要求代理显示执行的命令(根据 SKILL.md,只有在明确请求时才会显示)。...详细分析 ▾
✓ 用途与能力
名称/描述与声明的要求(gcalcli)匹配。没有请求无关的二进制文件、环境变量或配置路径;该技能仅为指令,依赖 gcalcli CLI,如预期。
✓ 指令范围
SKILL.md 将操作限制在 gcalcli 命令(日程/搜索/添加/导入/删除)内,建议在破坏性操作后进行验证,避免写入临时文件,不指示读取无关文件或泄露数据。'跳过未ambiguous 删除的确认' 是一个明确的用户体验选择(文档中),而不是隐藏行为。
✓ 安装机制
没有安装规范或下载;仅指令的技能具有最低安装风险。它假设现有的 gcalcli 二进制文件存在。
✓ 凭证需求
该技能没有请求环境变量或凭证。它依赖 gcalcli 的本地 OAuth2 令牌(文档中),不要求无关的秘密。
✓ 持久化与权限
该技能不是始终打开的,用户可以调用,不请求系统范围的持久性或修改其他技能。允许自动调用(平台默认),但这里没有与其他红旗合并。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.0.02026/2/6
添加了包含理由和安全注意事项的 README.md 文件。澄清了操作确认策略:不ambiguous 的破坏性操作(删除/编辑)将立即运行,ambiguous 的始终需要用户确认。更新了操作策略部分,以强调对话速度和个人助手使用场景。重命名/删除部分现在明确描述了删除后验证和使用 `--iamaexpert`。没有对命令进行行为更改,但文档更清晰地说明了用户体验意图和防护措施。
● 无害
安装命令 点击复制
官方npx clawhub@latest install gcalcli-calendar
镜像加速npx clawhub@latest install gcalcli-calendar --registry https://cn.clawhub-mirror.com
技能文档
(由于原始内容中未提供 SKILL.md 内容,此处无法翻译。请提供 SKILL.md 内容以完成翻译。)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制