by 安全扫描
OpenClaw
可疑
high confidence该技能基本符合其声明的目的(KMA短期预报),但包含几个不一致或粗糙的细节,用户在安装前应了解这些问题,包括硬编码的API密钥路径、未记录的运行时依赖和未记录的API密钥要求。
评估建议
该技能似乎实现了其声明的功能(KMA预报 + AirKorea),但安装或启用前建议谨慎,因为存在几个不一致:
- API密钥处理不一致
- 未声明的运行时依赖(curl, jq, python3)
- 未记录的凭据要求
- 硬编码的用户路径
- 跨技能假设(依赖AirKorea和notify技能)
建议:修复脚本路径一致性,确保运行时工具可用,声明所需凭据,避免硬编码路径。...详细分析 ▾
ℹ 用途与能力
名称/描述(KMA短期预报 + AirKorea集成)与包含的脚本(weather.sh、morning_briefing.sh、grid_convert.py)一致。但SKILL.md和代码引用了未提供的跨技能集成(airkorea/notify),包元数据未声明所需凭据或二进制文件,尽管脚本需要API密钥和工具(curl、jq、python3)
⚠ 指令范围
运行时指令和脚本仅调用公共政府API(data.go.kr / apis.data.go.kr)并产生本地输出,这是预期的。但morning_briefing.py片段打开绝对路径/home/scott/.config/data-go-kr/api_key,而不是文档中记录的~/.config/data-go-kr/api_key,这是一个遗留的硬编码路径,如果存在,会尝试读取其他用户的文件或崩溃。脚本还假设jq、curl和python3存在,尽管技能元数据未列出所需的二进制文件。
ℹ 安装机制
无安装规格(仅指令)——来自任意下载的低风险。但该技能提供了可执行脚本,预期运行时工具(curl、jq、python3)。这些所需的二进制文件未在注册元数据中声明,造成了一致性差距(用户可能没有这些工具)
⚠ 凭证需求
该技能依赖存储在文件系统路径(SKILL.md指示~/.config/data-go-kr/api_key)的data.go.kr API密钥。注册元数据未声明所需的环境变量/凭据,因此密钥要求是未记录的。morning_briefing中的硬编码路径/home/scott特别问题:如果存在,可能导致技能读取其他用户的配置。请求的凭据数量和范围很小(一个API密钥),适合声明的目的,但访问密钥的方式不一致且令人担忧。
✓ 持久化与权限
always:false且无安装钩子——该技能不强制包含且不请求系统范围的持久性。它可以由代理(平台默认)自主调用,但这不与其他高风险标志结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.2.02026/2/23
基于KMA开放API的气象청 초단기/단기예보
● 无害
安装命令 点击复制
官方npx clawhub@latest install kma-weather-korea
镜像加速npx clawhub@latest install kma-weather-korea --registry https://cn.clawhub-mirror.com
技能文档
请参见下方翻译的SKILL.md内容(保留原始YAML frontmatter不翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制