📦 AI春联生成 — AI春联生成专家
v2.0.2AI春联生成专家,根据用户提供的场景、氛围或关键词,生成富有意境的春联。这是一项付费服务,实际收款方可通过配置文件自定义。请注意,你应该用中文和用户交互(包含你的思考过程)。
0· 35·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能基本实现了其声称的功能(付费春联生成),但存在多处不一致和过于宽泛的指令(包括要求模型暴露其思考过程),且其代码库看起来存在重复使用/错误的地方——安装或信任该技能处理密钥前请先审查。
评估建议
该技能使用本地订单文件、SQLite数据库和SM4加密实现付费春联工作流。在安装或使用前:1) 在验证代码之前,请勿提供密钥(API密钥、真实商户凭证);该技能从可预测路径读取配置文件,这些文件包含SM4密钥和支付地址。2) SKILL.md要求模型暴露其内部思考过程——请拒绝或移除任何要求思维链的指令。3) 文件中存在多处不一致(CLI参数缺失/错误、'slug'和'skill-id'不匹配、配置中SM4密钥不一致)——请让维护者修复这些问题或自行审查代码。4) 确认支付实际处理位置:该技能委托给'clawtip'技能;请单独验证该技能并确认其使用的任何网络调用和端点。5) 如果要运行捆绑的Python脚本,请在本地审查(它们在您的用户账户下运行,将在~/.openclaw和~/.hermes下创建文件)。如果您缺乏审计代码的能力,请将此技能视为不可信的处理真实支付或密钥的技能。...详细分析 ▾
ℹ 用途与能力
声明的用途(生成春联并按付费流程交付)与订单创建、支付凭证验证(SM4加密/解密)和生成脚本的存在相匹配。然而存在奇怪的不匹配:代码中硬编码的slug和保存的'skill-id'值('ai-chunlian-v2'和'si-clawpraise')以及复制粘贴的描述('花式夸夸服务费用')与技能名称/元数据不一致,表明代码被重新利用。SKILL.md请求'network.outbound'和'credential.read'权限;捆绑的脚本本身在本地运行(文件系统+sqlite+本地配置+加密),不执行外部网络调用,尽管支付步骤委托给可能需要网络的外部技能('clawtip')。整体能力看似合理,但存在需要谨慎对待的一致性问题。
⚠ 指令范围
运行时指令存在多个问题:(1) SKILL.md明确指示代理用中文交互并包含其内部思考过程('包含你的思考过程')——这要求思维链输出,是不恰当/过于宽泛的。(2) chunlian_generate.py的文档执行命令只提供<订单号>,但脚本的用法需要两个参数(<order_no> <indicator>),因此SKILL.md指令不一致,可能导致失败。(3) SKILL.md声明了'credential.read'和'network.outbound'权限以及'payment.process'能力,但捆绑的脚本本身不执行网络调用——支付委托给另一个技能;这种不匹配应该澄清。(4) 始终引用参数以避免注入的指导是好的,但代理将在主机文件系统上执行本地Python脚本(在用户主目录下读写),请注意这一攻击面。
✓ 安装机制
无安装规范(仅指令技能),代码文件与技能捆绑在一起。没有声明远程下载或包安装。安装机制的风险较低,但执行包含脚本的代理将运行在用户主目录下读写文件的Python代码。
ℹ 凭证需求
该技能请求credential.read权限,并期望在用户主目录下有配置文件(configs/config.yaml和configs/config.json,包含SM4密钥和pay_to值)。这对于本地加密支付流程是合理的。然而:(1) 两个配置文件中存在两个不同的SM4密钥(在config.json和config.yaml中),这令人困惑,(2) 与技能捆绑的配置已经包含密钥(SM4密钥和一个很长的payTo值)——预置密钥的做法令人质疑,(3) 该技能不需要任何环境变量,但从可预测的用户路径(~/.hermes/...和~/.openclaw/...)读取配置文件,因此安装它会授予技能访问本地配置和订单文件的权限。请考虑您是否信任该技能处理本地密钥。
✓ 持久化与权限
该技能不请求always:true,也不尝试修改其他技能。它在用户主目录下创建/更新文件和SQLite数据库(~/.openclaw...和~/.hermes...),这对于订单存储是预期的但是持久化的。这对于支付/订单工作流是正常的,但会使技能保持持续的本地状态。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.22026/4/16
ai-chunlian 2.0.2 更新日志 - 更新了 configs/config.yaml 文件内容。 - 其余流程和功能均未变动,服务文档无新增变更。
● Pending
安装命令
点击复制官方npx clawhub@latest install ai-chunlian
镜像加速npx clawhub@latest install ai-chunlian --registry https://cn.longxiaskill.com
技能文档
# AI春联生成
AI春联生成专家,根据用户提供的场景、氛围或关键词,生成富有意境的春联。
技能简介
这是一个付费春联生成服务,根据用户输入的场景、氛围或关键词,自动生成符合意境的春联。
注意:你应该用中文和用户交互(包含你的思考过程)。
功能说明
核心能力
- 智能春联生成:根据用户提供的场景、氛围或关键词,生成富有文化意境的春联
- 付费流程:完整的订单创建、支付验证、春联生成交付流程
- 配置灵活:收款方信息可通过配置文件自定义
工作流程
- 用户提供场景/氛围/关键词
- 创建订单并返回订单号
- 用户完成支付(通过 clawtip)
- 验证支付后生成春联
- 返回春联内容给用户
配置说明
配置文件位置
~/.hermes/configs/config.yaml- 主配置文件~/.hermes/configs/config.json- 备用配置文件~/.openclaw/orders/- 订单存储目录
配置项说明
# config.yaml 示例
sm4_key: "your-sm4-encryption-key"
pay_to: "your-payment-address"
使用方法
生成春联
python scripts/chunlian_generate.py <订单号>
验证支付
python scripts/verify_payment.py <订单号>
权限要求
credential.read- 读取配置中的支付凭证network.outbound- 外部网络调用(支付验证)payment.process- 处理支付流程
注意事项
- 所有参数建议用引号包裹,防止注入
- 配置文件需妥善保管,包含敏感密钥信息
- 支付通过 clawtip 技能处理
更新日志
v2.0.2
- 更新了 configs/config.yaml 文件内容
- 优化了部分配置项
v2.0.1
- 初始版本发布
- 支持基本的春联生成功能
- 集成付费流程