by 安全扫描
OpenClaw
可疑
high confidence该技能的目的是使用阿里云晓蜜进行自动外呼,但包元数据中缺乏必要的运行时凭证和Node运行时,而SKILL.md明确要求设置阿里云AK/SK并运行`node scripts/bundle.cjs`。此不匹配以及包含3.3 MB的可执行捆绑包,建议在使用前进行代码审查。
评估建议
["安装前检查:SKILL.md要求ALIBABA_CLOUD_ACCESS_KEY_ID、ALIBABA_CLOUD_ACCESS_KEY_SECRET和运行`node scripts/bundle.cjs`,但包元数据未声明这些要求。请请求发布者更新元数据。","审计捆绑代码:在运行前审查`scripts/bundle.cjs`,确保仅调用阿里云端点,不泄露数据,不执行无关系统操作。","限制凭证:使用具有最小IAM权限的专用阿里云账户,避免高权限凭证。若支持,使用短期凭证。","沙盒测试:使用测试号码和非生产数据验证行为和成本。","隐私与合规:确保获得同意,遵守当地法规,尽可能减少发送的个人信息。","操作谨慎:确认计费影响和绑定号码的授权。若无法审查捆绑包或获得可靠源,视为高风险,避免使用真实凭证或生产数据。"]...详细分析 ▾
⚠ 用途与能力
技能的声明目的(调用阿里云晓蜜外呼机器人)与需要ALIBABA_CLOUD_ACCESS_KEY_ID/SECRET和绑定外呼号码一致。
ℹ 指令范围
SKILL.md 大致保持在声明目的内,描述了收集电话列表、构建背景、获取确认后调用阿里云API,功能适合外呼技能,但涉及敏感信息的聚合和发送,存在隐私风险。
⚠ 安装机制
没有安装规格,但包含一个大型可执行脚本(~3.3 MB),将使用`node`运行。建议在生产环境执行前审计。
⚠ 凭证需求
SKILL.md要求ALIBABA_CLOUD_ACCESS_KEY_ID和ALIBABA_CLOUD_ACCESS_KEY_SECRET,但包元数据未声明这些要求,存在问题。
✓ 持久化与权限
技能不请求always:true,不修改其他技能或全局配置,仅安排短期后续查询,行为预期。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/15
技能重命名,现支持通过阿里云晓蜜外呼机器人进行批量外呼,包括场景化脚本和实时进度追踪。文档完全重构,添加了环境设置和号码绑定指南、故障排除指南和实景场景参考。移除了遗留脚本,添加了Node.js脚本和新参考Markdown文件。
● 无害
安装命令
点击复制官方npx clawhub@latest install intelligent-outbound-call
镜像加速npx clawhub@latest install intelligent-outbound-call --registry https://cn.longxiaskill.com镜像同步中
技能文档
(由于原始内容过长且包含未翻译的代码块和Markdown格式,以下仅提供翻译后的非代码部分,代码块和特定格式保持原样)