by 安全扫描
OpenClaw
安全
medium confidence该技能在内部与一个本地、基于 CLI 的个人记账助手保持一致,它将数据存储在自己的 data/ 目录下,不声明外部凭据或安装程序。
评估建议
此 skill 看似连贯且仅在本地运行,但仍需在安装前完整检查 tracker.py。重点核查:1)搜索文件中是否存在网络或出站代码(requests、urllib、socket、ftplib、smtplib、paramiko、http.client)或 subprocess/os.system/exec/eval 调用;2)确认写文件行为——确保仅写入 skill 的 data/ 目录,且不会因构造的 --output 值覆盖任意系统路径;3)如可能,在沙箱或独立用户账户中运行,并先备份敏感数据;4)若需更高隐私,可加密 data/ 目录或将备份置于 skill 文件夹外。因 package 列表中的 tracker.py 被截断,审阅完整文件可将信任度从中等提升至高等。...详细分析 ▾
✓ 用途与能力
名称/描述(个人记账)符合提供的说明及附带的 tracker.py 脚本。该 Skill 无需外部服务或凭证,仅操作 data/ 目录下的本地 JSON 文件,适合作为本地账本工具。
✓ 指令范围
SKILL.md 指示智能体解析用户文本,并调用内置 CLI(python scripts/tracker.py)执行 add/delete/list/export/report 操作。说明仅引用该技能自身的数据文件及预期的命令行操作,不会要求智能体读取无关的系统文件、环境密钥,或向外部端点发送数据。
✓ 安装机制
无安装说明(仅提供指令并附带脚本)。风险较低:安装程序不会从网络获取任何内容,也不会向系统位置写入任何文件。
✓ 凭证需求
该 skill 不依赖任何环境变量或外部凭据。所有用户/账户数据均以 JSON 文件(config、profiles、ledgers、accounts、transactions)形式本地保存,符合其声明的纯本地设计。
✓ 持久化与权限
always 为 false,且该 skill 不会请求系统级变更。它仅作用于自身 data/ 目录下的文件,仅管理自身的 config/state。默认允许自主调用,但不会与 broad credentials 或 always:true 结合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
安装命令
点击复制官方npx clawhub@latest install cai-gun-gun
镜像加速npx clawhub@latest install cai-gun-gun --registry https://cn.longxiaskill.com
技能文档
财滚滚 💰🐶 – 个人财务小助手 萌系记账工具,轻松管收支。
核心能力
- 快速记账
- 记录管理
- 财务分析
- 数据管理
- 分类管理
- 🆕 用户画像
- 🆕 账本管理
- 🆕 账户管理
- 🆕 多用户
工作流程 记账:解析输入 → 确认金额/类型 → 调用 python scripts/tracker.py add → 友好反馈 删除:python scripts/tracker.py delete --id/--today/--date 导出:python scripts/tracker.py export --month/--all 报告:python scripts/tracker.py report --week/--month
数据文件(skill/data/) config.json – 配置 profiles.json – 用户画像 ledgers.json – 账本 accounts.json – 账户 transactions.json – 流水
成功反馈 ✅ 记好啦!{类型} {金额}元 — {分类}{备注} 📋 账本:{账本} | 💳 账户:{账户} {夸奖语} 💡 提示:无云同步,记得导出备份。
分类确认(自动推断时) 🤔 我猜是「{分类}」,对吗? ✅ 对的 | ✏️ 改分类 | 💾 记住
脚本速查 add / delete / list / summary / export / report / category / ledger