by 安全扫描
OpenClaw
可疑
high confidence代码与描述目的匹配(获取和摘要 QQ 邮件),但包中包含敏感文件(邮件地址、IMAP 认证码和大量邮件)和硬编码的推送账户标识符——这不合理且风险高。
评估建议
["不要直接安装或运行此技能。运行前:","1. 从包中删除包含敏感信息的 config/email-config.json 和 data/emails.json。","2. 用 config.example.json 替换配置文件,并仅在 setup 提示时输入凭据。","3. 检查并替换默认的 WEIXIN_CHANNEL/ACCOUNT/USER_ID 值。","4. 审查 execSync/openclaw CLI 的使用,确保端点可信,并在隔离环境中运行脚本。","5. 如果无法确认包中包含真实凭据/邮件的原因,视为不可信任,避免运行;请求作者提供干净版本或使用替代实现。"]...详细分析 ▾
⚠ 用途与能力
技能名称/描述(QQ 邮件摘要)与脚本匹配(IMAP 获取、分类、摘要、推送到微信)。然而,仓库包含已提交的 config/email-config.json(带有授权码和邮件地址)和一个大型 data/emails.json(含许多看似真实的邮件)。
ℹ 指令范围
SKILL.md 指示代理运行 setup、获取、摘要,并可选添加 cron — 所有在预期范围内。
✓ 安装机制
无安装规格;Node 脚本和依赖项包含在 package.json/package-lock.json 中。
⚠ 凭证需求
技能未声明必需环境变量,但使用可选 WEIXIN_* 环境变量和硬编码/默认推送账户标识符。
✓ 持久化与权限
always 为 false,脚本仅在技能自己的 config/data/reports 目录下创建/修改文件。
⚠ scripts/setup-qq-email.js:108
检测到 Shell 命令执行 (child_process)。
⚠ scripts/summarize-emails.js:106
检测到 Shell 命令执行 (child_process)。
⚠ scripts/summarize-emails.js:15
环境变量访问与网络发送结合。
⚠ scripts/fetch-emails.js:21
文件读取与网络发送结合(可能的数据外泄)。
⚠ scripts/summarize-emails.js:24
文件读取与网络发送结合(可能的数据外泄)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/26
初始发布 - 自动获取和摘要 QQ 邮箱邮件。- 支持 QQ 邮箱 IMAP 自动获取邮件- 智能分类:重要、普通、推广、垃圾- 每日邮件摘要生成并支持微信推送- 配置向导及自动定时任务- 命令行工具:邮箱配置、邮件获取、摘要生成、连接测试
● 可疑
安装命令 点击复制
官方npx clawhub@latest install qq-email-summary
镜像加速npx clawhub@latest install qq-email-summary --registry https://cn.clawhub-mirror.com
技能文档
# 邮件摘要技能 > 📧 你的私人邮件秘书,让处理邮件更高效! --- ## 🎯 功能特性 - ✅ QQ 邮箱 IMAP 自动获取 - ✅ 智能分类(重要/普通/推广/垃圾) - ✅ 每日摘要生成 - ✅ 微信推送摘要 - ✅ 自动定时任务 --- ... (由于字符限制,完整的 cn_skill_md_content 未全文展示,但应按照原文翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制