by 安全扫描
OpenClaw
可疑
medium confidence该技能描述承诺提供邮件和日历集成以及自动激活,但指示不明确且未声明所需的凭证或步骤——此不匹配令人可疑,安装前应求明确
评估建议
该技能关于发送邮件或访问日历的方式不明确,也未声明任何凭证——此不匹配是主要红旗。安装前请向发布者询问邮件/日历访问的实现方式(使用哪个账户或API),坚持要求声明所需环境变量或OAuth流程,并验证消息和日历事件的来源。如果仍想测试,请在沙盒环境中运行(无访问真实邮件/日历账户)或提供测试凭证,并启用审计日志以查看代理执行的确切操作。如果发布者无法解释缺失的凭证和激活行为,请将技能视为不可信任...详细分析 ▾
⚠ 用途与能力
清单和SKILL.md 声称具有邮件集成、日历访问和自动入职激活功能,但技能未要求或声明发送邮件或访问日历所需的凭证、API密钥或配置路径。这种不匹配表明可能存在缺失的声明或假设代理/平台会隐式提供访问权限;无论如何,所请求的功能与声明的要求不一致。
⚠ 指令范围
SKILL.md 非常高层次,未提供具体的运行时指令(无端点、无命令、无文件路径)。它还说“当新客户参与开始时自动激活”,这意味着自主行为但未提供任何规则或限制。模糊性授予代理广泛的自由来完成任务,这是范围和安全问题。
✓ 安装机制
这是一个仅指令的技能,没有安装规格和代码文件,因此技能本身不会写入磁盘。要求python3对于可能调用或预期Python的技能来说是轻量级和合理的,但没有安装程序或下载。
⚠ 凭证需求
尽管声称邮件和日历集成,但技能未声明任何所需的环境变量或凭证。合法的入职功能通常需要SMTP/SendGrid/API凭证或用于日历的OAuth令牌;任何声明的秘密或配置的缺失是不成比例的和未解释的。
✓ 持久化与权限
always 为false,并且没有安装脚本或配置路径会修改其他技能或系统设置。允许自主调用(平台默认),这与可执行技能一致,但由于技能模糊,这增加了谨慎的需要——技能本身不请求提高持久性。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/31
客户入职技能初始版本发布:- 管理端到端入职工作流,包括欢迎邮件、文档收集和入职表单。- 支持多个入职轨道(例如SMB与企业)。- 自动化启动计划安排和进度跟踪。- 为停滞账户生成清单并发送提醒
● 无害
安装命令 点击复制
官方npx clawhub@latest install beta-client-onboarding
镜像加速npx clawhub@latest install beta-client-onboarding --registry https://cn.clawhub-mirror.com
技能文档
概述
处理Beta AI Agent的完整客户入职流程功能
- 欢迎邮件序列
- 文档收集跟踪
- 入职表单管理
- 启动计划安排
- 多条入职轨道的进度跟踪
- 停滞账户提醒
使用
新客户参与开始时自动激活要求
- Python 3
- 邮件集成
- 日历访问
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制