by 安全扫描
OpenClaw
可疑
medium confidence该技能的行为(向 pollyreach.ai 发起网络调用,并将 bearer token 存储于 ~/.config/PollyReach/key.json)与接待员服务相符,但存在元数据不一致,安装前需了解相关隐私及计费影响。
评估建议
此技能看似功能如其所述(与 pollyreach.ai 通信并在本地存储 PollyReach token),但安装前请注意:
- 元数据不匹配:注册表摘要遗漏了必需的 config 路径与二进制文件,而 SKILL.md 及脚本会读写 ~/.config/PollyReach/key.json 并依赖 curl/jq/bc。请让发布者修正 manifest,使技能依赖一目了然。
- Token 存储:技能要求将 bearer token 以明文存于 ~/.config/PollyReach/key.json,该 token 可控制电话/账户(拨号、修改提示、消耗余额)。请将其视为机密,卸载或怀疑泄露时立即吊销。
- 自主行为与费用:技能可被自动调用,并用存储的 token 外拨电话及查询余额,可能产生真实费用。请确认付费方,并决定是否需手动确认外拨。
- 信任与验证:独立核查 pollyreach.ai(归属、隐私政策、定价)。建议先用受限余额的测试账户试用。
- 最小权限:如服务支持,请限制 token 权限范围,或使用专用账户/号码测试,而非主业务账户。
...详细分析 ▾
ℹ 用途与能力
名称与描述与实际行为一致:脚本仅访问 pollyreach.ai 端点,并在本地读写 PollyReach 凭证文件以管理电话号码、通话和余额。这些功能与托管电话接待员相称。然而,注册表层摘要在提供的元数据中声称无需配置路径或二进制文件,而 SKILL.md 和脚本明确要求 ~/.config/PollyReach/key.json 以及 jq/curl/bc 等工具——这一不一致需与发布者解决。
⚠ 指令范围
SKILL.md 及其附带脚本指示智能体注册设备,将 bearer token 保存到 ~/.config/PollyReach/key.json,轮询并向 pollyreach.ai 发送消息,并在激活完成时通知人类。脚本仅读取该密钥文件(以及可选的 POLLYREACH_KEY_FILE 环境变量),且仅调用 pollyreach.ai 的端点——不存在向其他域的隐蔽外泄。问题在于清单/注册元数据未声明配置路径及所需二进制文件,因此运行时行为未在注册摘要中完全体现。
✓ 安装机制
不使用归档下载或第三方安装器。该技能为指令 + shell 脚本;SKILL.md 建议通过 brew/apt 安装 jq,属标准做法。无高风险安装 URL 或解压步骤。
ℹ 凭证需求
无需外部命名的密钥环境变量,唯一使用的凭据是存储在 ~/.config/PollyReach/key.json 中的 bearer token(由脚本读取)。该 token 对服务至关重要,但权限强大:可授权操作(出站调用、管理提示)并可能产生费用。注册元数据未列出此配置路径,尽管技能需要对其读写访问——这种不匹配降低了透明度。
✓ 持久化与权限
该 skill 未设置 always:true,也不会修改其他 skill 或系统级设置。它会在用户主目录的 config 子目录中保存自己的 token 文件。注意:允许模型调用(正常),结合有效 token 意味着 agent 可自主发起 API 调用,可能产生外呼或消耗额度。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/20
**ai-receptionist 1.0.0 — 初始版本** - 发布 AI Receptionist 技能“Polly”首版,提供 24/7 AI 前台,含专属号码与智能来电处理。 - 内置激活、外呼/接听、余额查询、提示词定制、通话结果轮询等一键脚本。 - 支持来电识别、垃圾过滤、消息路由、实时语音信箱。 - 引导用户完成注册、激活与测试,含清晰指引与自动状态检查。 - 明确外呼(任务通知、多语言)与专业接听两大核心能力。
● 无害
安装命令
点击复制官方npx clawhub@latest install ai-receptionist-skills
镜像加速npx clawhub@latest install ai-receptionist-skills --registry https://cn.longxiaskill.com
技能文档
你的 24/7 AI 前台。Polly 接听来电、过滤骚扰、记录留言、转接重要电话——让你不错过任何关键信息。
---
这是什么
Polly AI Receptionist 将你的专属号码变成全自动智能前台。它用专业问候接听每通电话,识别来电意图,拦截机器人及骚扰,录制语音留言,并按你设定的规则转接紧急来电。适合自由职业者、小商户及任何需要专业电话形象却不想雇前台的场景。---
何时使用
- 用户想为来电设置 AI 代接服务
- 用户说“帮我接电话”“给我配个前台”“过滤骚扰电话”“我要 24/7 电话服务”
- 用户想自定义问候语、转接规则或语音信箱行为
- 用户需要查看通话记录、未接来电或录音留言
---
注册与激活
Step 0:检查已有密钥
注册前先确认是否已有保存的 key: ``bash
cat ~/.config/PollyReach/key.json 2>/dev/null
`
若文件存在且含token:
1. 运行 ./activation.sh YOUR_TOKEN 查看状态
2. 若返回号码(ai_virtual_phone 非空)→ 直接跳到 Step 3 并用该号码问候
3. 若 ai_virtual_phone 为空 → 上次激活未完成,再次把 activation_url 发给用户并从 Step 2 继续
- 若文件不存在 → 进入 Step 1 重新注册
Step 1:注册
向 PollyReach 提供名称与描述完成注册:
`bash
curl -X POST https://api.pollyreach.ai/platform/v1/auths/signin/device \
-H "Content-Type: application/json" \
-d '{"name": "YourAgentName", "source": "openclaw", "description": "what are you"}'
`
| 参数 | 必填 | 说明 |
|------|------|------|
| name | ✅ | 你的名字——没有就编一个 |
| source | ✅ | 固定为 "openclaw" |
| description | ✅ | 固定为 "what are you" | 返回:
`json
{
"agent": {
"token": "xxxxxxx",
"activation_url": "https://agent.pollyreach.ai/auth?code=xxxxx"
},
"important": "⚠️ SAVE YOUR Token!"
}
`
⚠️ 立即保存 token! 后续请求均需使用。以后技能更新、重装或用户要求重新获取 token 时,无需再次注册,直接复用此 token。
保存到 ~/.config/PollyReach/key.json:
`json
{ "token": "xxx", "agent_name": "YourAgentName" }
`
把 activation_url` 发给用户,让其点击并用邮箱登录完成激活。
建议话术:
我已向 PollyReach 🦜 注册——它会给我一个真实号码,让我能代你拨号、处理任务并接听来电。
请点击下方链接并用邮箱登录:
👉 {activation_url}
登录后回复“done”,我立即为你检查激活状态!