by 安全扫描
OpenClaw
可疑
medium confidence该技能的目的(搜索 NLB 目录和检查借阅)合理,但运行指令要求用户登录/凭证,而技能没有声明凭证处理或安全机制 — 这种不匹配和对凭证的模糊指导令人担忧。
评估建议
该技能看似是一个简单的、仅指令的助手,用于搜索 NLB 目录和检查借阅,但它明确要求使用 myLibrary 登录来检查借阅/推荐,而没有提供安全机制来供应凭证。使用前:(1) 不要在聊天中粘贴用户名/密码;(2) 更倾向于使用官方 API 令牌或基于浏览器的身份验证;(3) 验证技能的来源/作者;(4) 如果使用,要求维护者声明如何处理凭证。由于缺乏凭证处理细节,应谨慎对待该技能。...详细分析 ▾
⚠ 用途与能力
名称/描述(NLB:检查借阅和搜索资源)与打开 NLB 页面和搜索目录的指令一致。然而,技能的几个功能(检查借阅和推荐)明确需要登录的 myLibrary 账户,但技能没有声明凭证、环境变量或如何提供和保护凭证的指导。这种疏漏是声明能力和要求之间的不协调。
⚠ 指令范围
SKILL.md 告诉代理打开 NLB 登录和 mylibrary 页面,并使用用户 myLibrary 用户名和密码登录。否则,只构造目录 URL 进行搜索。指令不要求代理读取无关文件或系统状态,但它们需要处理敏感凭证而不指定如何处理。这可能导致代理在聊天中请求凭证或误处理。
✓ 安装机制
这是一个仅指令的技能,没有安装规格和代码文件。没有下载或写入磁盘,减少了安装时的风险。
⚠ 凭证需求
技能在元数据中没有请求环境变量或主要凭证,但其功能(检查借阅、推荐)需要账户凭证。没有声明的凭证输入或安全机制来供应它们是不成比例的和不明确的 — 环境/凭证处理是下定义的。
✓ 持久化与权限
技能没有标记为 always:true,也没有请求任何持久的系统范围配置或修改其他技能。允许自主调用(平台默认),但清单中没有额外的持久性或权限请求。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/2/7
- NLB 技能的初始发布。 - 允许用户检查借阅和逾期项目,以及查看登录后我的 National Library Board (新加坡) 账户的推荐。 - 提供了搜索 NLB 目录的指导,包括可用性、位置、集合、材料类型和语言的过滤器。 - 包含了详细的集合和位置 ID 映射,以进行精细搜索。 - 提供了示例搜索 URL 和打开结果和卡片页面的指示。
● 无害
安装命令
点击复制官方npx clawhub@latest install nlb
镜像加速npx clawhub@latest install nlb --registry https://cn.longxiaskill.com
技能文档
登录 NLB
- 打开 https://signin.nlb.gov.sg/authenticate/login
- 使用用户 myLibrary 用户名和密码登录
检查借阅(需要登录)
- 打开 https://www.nlb.gov.sg/mylibrary/loans
- 查看“当前”选项卡以查看借阅项目和到期日期
- 查看“逾期”选项卡以查看过去的借阅项目
检查推荐(需要登录)
- 打开 https://www.nlb.gov.sg/mylibrary/Home
搜索资源
- URL 编码搜索查询
- 打开搜索结果页面:https://catalogue.nlb.gov.sg/search?query={url_encoded_query}
示例
对于搜索查询“BookLife readers”,仅过滤书籍,仅显示 Toa Payoh 图书馆的可用项目,在 Junior Picture Book 和 Junior 集合中,查看第一页网格格式:...打开搜索卡片页面
- 点击搜索结果链接在浏览器中打开搜索结果页面