by 安全扫描
OpenClaw
可疑
high confidence该技能声明的功能(完整的 OAuth2 支持)和所需输入对 Gmail 集成看似合理,但代码和说明并未实现 OAuth2 流程,且包含错误的 API 用法,因此各部分不一致,技能未经修改将无法按承诺运行。
评估建议
此技能声称“完整支持 OAuth2”,但代码并未执行 OAuth 令牌交换,也未附带 Authorization 头,且 API 路径错误——简而言之,它无法按宣传工作。安装前请:(1) 检查或要求修复代码,使其实现 OAuth2 流程(授权码或设备流),用 client_id/secret 换取令牌,并在请求中带上 'Authorization: Bearer <access_token>';(2) 用一次性 Google 账户/受限权限凭据测试,勿用主账户;(3) 切勿将生产环境的 client_secret 粘贴到不受信任的技能——若必须提供密钥,先弄清令牌存储位置及技能是否会外传;(4) 要求作者修正 endpoint URL 并记录令牌存储与刷新行为。因各部分无法对齐,请视此技能为不可用,并在授予真实凭据前审查或修复实现。...详细分析 ▾
⚠ 用途与能力
名称/描述与所需环境变量(GMAIL_CLIENT_ID、GMAIL_CLIENT_SECRET)均指向 Gmail 集成,但代码从未实现 OAuth2 令牌交换,也未在调用 Gmail API 时附加 Authorization 头。代码还使用了错误的端点字符串(如“.../messages.send”而非标准的“/messages/send”路径),因此无法代表用户调用 Gmail。在 SKILL.md 中宣称“Full OAuth2 support”与代码实际不符。
⚠ 指令范围
SKILL.md 要求你创建 OAuth 凭据并设置环境变量,但未说明技能如何获取或存储 access/refresh token,也未解释如何完成 OAuth 授权/重定向流程。运行时说明与代码均未指示代理执行 OAuth 握手或提示用户输入授权码,因此运行时行为要么失败,要么需要临时手动操作。说明不完整,赋予代理模糊的自由度,使其可能在未正确认证的情况下尝试网络调用。
✓ 安装机制
不含安装规范或外部下载;该技能仅通过单个 Python 文件提供指令,从而最大限度降低安装时风险(无任何内容被拉取或解压)。
ℹ 凭证需求
请求 GMAIL_CLIENT_ID 和 GMAIL_CLIENT_SECRET 对于一个执行 OAuth 的应用来说是合理的。然而,仅凭这两个值不足以访问 API——代码应当获取并使用 access token。没有请求其他环境变量或无关凭据,因此所请求密钥的范围较窄,但目前使用方式不当。
✓ 持久化与权限
该技能未标记为 always:true,也未请求系统级配置或修改其他技能。它确实会在模块导入时读取环境变量,这对于凭据来说是正常的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/20
Gmail Integration 技能首发 - 通过 Gmail API 发送邮件 - 列出收件箱最新邮件 - 创建并管理自定义标签 - 完整 OAuth2 安全认证 - 需设置环境变量:GMAIL_CLIENT_ID 与 GMAIL_CLIENT_SECRET
● 无害
安装命令
点击复制官方npx clawhub@latest install lukaizj-gmail
镜像加速npx clawhub@latest install lukaizj-gmail --registry https://cn.longxiaskill.com