by 安全扫描
OpenClaw
可疑
medium confidence该技能要求克隆并运行外部GitHub项目,可能执行任意代码,但技能包本身无代码,未声明GPT/API凭证,存在安全风险。
评估建议
在运行提供的git/pip/python命令前,请检查远程仓库。技能包无代码,但指示克隆和执行外部代码,可能安装恶意软件或泄露秘密。建议:(1)验证GitHub仓库URL和所有者;(2)审查仓库内容;(3)检查API密钥安全;(4)在沙盒/容器中运行;(5)优先选择包含代码的技能或提供签名发布和明确环境变量/权限列表的技能。...详细分析 ▾
⚠ 用途与能力
技能声称集成了GPT和WebSocket实时聊天,但包中无代码,未声明凭证。要求克隆和运行远程仓库以提供宣称的功能与仅指令的技能不一致,后者应包含代码或声明所需凭证和确切依赖项。
⚠ 指令范围
运行指令要求用户执行克隆仓库、安装依赖、运行应用的命令,下载和执行第三方代码(不包含在技能包中)。指令未指定所需环境变量(如OpenAI/API密钥),也不限制克隆代码的行为(文件访问、网络调用、环境变量读取)。
⚠ 安装机制
尽管技能本身无安装规格,但SKILL.md推荐从GitHub仓库拉取任意代码并运行pip安装其依赖项——从外部URL提取和执行的工作流。该模式风险较高,因为它将在主机上写入和执行远程代码,且包中未提供仓库的验证或校验和。
⚠ 凭证需求
技能提到GPT集成,但未声明所需环境变量或主要凭证。合法的GPT集成聊天服务通常至少需要一个API密钥(OpenAI或其他提供商)。未声明凭证的缺失是矛盾的,可能隐藏远程代码将提示或从环境中读取的所需秘密。
ℹ 持久化与权限
技能不请求'always'或其他提升的持久权限,只能由用户调用。这是合适的。然而,由于它指示下载和运行外部软件,在执行时仍可能创建持久服务或网络暴露的进程——您应该像安装不可信任软件一样对待它。
安装前注意事项
- 验证GitHub仓库URL和所有者
- 审查仓库内容(app.py、requirements.txt、设置脚本)以查找意外行为(网络调用、读取环境变量、上传文件)
- 检查是否需要OpenAI/API密钥,并确保密钥安全处理(不提交到仓库)
- 在隔离的沙盒/容器中安装和运行应用
- 优先选择包含代码的技能,或者提供签名发布和明确环境变量/权限列表的技能。如果需要帮助审计远程仓库,请提供URL或仓库内容,我可以扫描风险模式(数据泄露、读取秘密、混淆代码)
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/19
智能在线客服系统初始发布,功能包括:实时Web聊天、AI问答(GPT集成)、多客服自动路由、聊天记录、满意度评价、基于Python、FastAPI和WebSocket的技术栈。
● 无害
安装命令 点击复制
官方npx clawhub@latest install ai-intelligent-live-chat
镜像加速npx clawhub@latest install ai-intelligent-live-chat --registry https://cn.clawhub-mirror.com
技能文档
描述
在线客服,实时聊天 + AI 问答。功能
- 实时聊天(WebSocket)
- AI 问答(GPT集成)
- 多客服接入(客服分配)
- 聊天记录(历史记录)
- 满意度评价(评价系统)
定价
- 基础版:¥199/月(3 客服)
- 专业版:¥999/月(30 客服)
- 企业版:¥2999/月(无限客服)
适用场景
- 在线客服
- 销售咨询
- 技术支持
- 售后服务
技术栈
- Python + FastAPI
- WebSocket
- GPT 集成
- 客服系统
安装
git clone https://github.com/openclaw-skills/ai-intelligent-live-chat
cd ai-intelligent-live-chat
pip install -r requirements.txt
python app.py
创建:2026-03-13 作者:OpenClaw Skills Team
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制