by 安全扫描
OpenClaw
可疑
medium confidence该技能大体上是一个基于 CLI 的 Grok 模型封装,但它指示智能体索取并存储用户的 API key,同时声明无需凭据,且存在少量安装/元数据不一致——在安装或交出密钥前请谨慎。
评估建议
该技能似乎是一个 Grok 类模型的 CLI 包装器,但它会指示 agent 向你索要 dlazy API key 并本地保存。在安装或提供任何密钥前:1)独立验证 dlazy.com 域名及 @dlazy/cli npm 包(发布者、源码、近期版本);2)优先用环境变量或安全密钥库自行设置 API key,而非在聊天中粘贴;3)不要共享其他无关凭据;4)若必须试用,先检查 npm 包源码(或在隔离环境运行)再全局安装;5)可要求该技能展示“dlazy auth set”具体做了什么、密钥存于何处。鉴于元数据/安装不一致且明确要求索要密钥,在核实发布者与包内容前,请将该技能视为可疑。...详细分析 ▾
⚠ 用途与能力
名称/描述表明这是针对 Grok 4.2 模型的 CLI 封装;需要 npm/npx 并依赖 npm 包 @dlazy/cli,这一点前后一致。然而,registry 元数据显示“无安装说明”,而 SKILL.md 元数据却包含字符串“npm install -g @dlazy/cli@1.0.5”——存在内部矛盾。此外,该 skill 未声明任何必需的 API key/环境变量,但使用说明却明确要求使用 API key。
⚠ 指令范围
SKILL.md 指示 agent 运行 'dlazy grok-4.2'(符合预期),但也使用了强烈的命令式语言,要求 agent 提示用户“发送”其 API 密钥,并通过 'dlazy auth set <key>' 保存。这会让 agent 向用户索取并持久化敏感信息,超出了最小化、范围明确的指令集,增加了凭据意外泄露的风险。
ℹ 安装机制
注册表列表中没有正式的安装规范,但 SKILL.md 元数据引用了全局 npm 安装 @dlazy/cli@1.0.5。全局安装第三方 npm CLI 是常见做法(中等风险),但在运行全局安装前应验证 npm 包及其发布者。
⚠ 凭证需求
该技能未声明任何必需的环境变量或主要凭证,却指示 agent 向用户获取 API key 并保存。这种不匹配(未声明凭证却在运行时引导收集 key)属于比例性/信息流问题。技能仅索取 dlazy 专用凭据,而非无关服务,但未作声明仍属不一致。
ℹ 持久化与权限
该技能未请求“always: true”或其他高级权限。但它要求通过“dlazy auth set”存储 API 密钥,这会将凭据持久化到本地配置——对 CLI 而言属正常,但需注意:默认允许自动调用,若凭据泄露,影响范围会扩大。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
- 首次发布 dlazy-grok-4.2 技能。 - 利用 Grok 4.2 文本模型实现高效文本生成、对话问答与逻辑推理。 - 提供 CLI 命令用法、选项、错误处理及故障排查步骤。 - 包含余额不足与缺失 API key 场景的应对指引。
● 可疑
安装命令
点击复制官方npx clawhub@latest install dlazy-grok-4-2
镜像加速npx clawhub@latest install dlazy-grok-4-2 --registry https://cn.longxiaskill.com