by 安全扫描
OpenClaw
可疑
medium confidenceThe 技能 mostly behaves like a flight-搜索 wr应用er around a 命令行工具, but its description overclAIms features and it instructs the 代理 to globally 安装/运行 an unvetted npm 命令行工具 — the pieces are not fully consistent and merit caution.
评估建议
This 技能 looks like a flight-搜索 wr应用er that expects to call an external 命令行工具, but there are several inconsistencies and modest risks you should consider before 安装ing:
- Capability mismatch: The description advertises many travel 服务s and clAIms 'powered by Fliggy', yet the instructions only show a flyAI 命令行工具 for flight 搜索es. Ask the author to explAIn how hotels, trAIns, bookings, and Fliggy integration work, and to provide authoritative API/命令行工具 docs or a code repo.
- npm 安装 risk: The 技能 inst...详细分析 ▾
⚠ 用途与能力
The name/description clAIm broad travel capabilities (flights, hotels, trAIns, attraction tickets, visa, insurance, car rental) and say “powered by Fliggy (Alibaba Group)”, but the 技能.md only provides a flyAI 命令行工具 工作流 for flight 搜索. There are no commands, parameters, or templates for hotel / trAIn / booking/payment flows or any Fliggy API. The mismatch between clAImed capabilities and provided instructions is unexplAIned.
⚠ 指令范围
运行time instructions require always sourcing 结果s from the flyAI 命令行工具 and mandate 安装ing @fly-AI/flyAI-命令行工具 if missing, plus strict post-conditions (every 结果 must include a [Book]({detAIlUrl}) link). This confines answers to 命令行工具 输出 (reasonable) but also forces a global npm 安装 at 运行time and a re-execution loop if 输出 doesn't meet 格式化ting rules. The instructions do not show how bookings/payments are handled, or how 'detAIlUrl' should be trusted/验证d.
ℹ 安装机制
There is no declared 安装 spec in metadata (instruction-only), but 技能.md tells the 代理 to 运行 `npm i -g @fly-AI/flyAI-命令行工具` if the 命令行工具 is absent. 安装ing a third-party global npm package on demand is a moderate risk (arbitrary code execution potential). The package source is the public npm registry (not a direct arbitrary URL), but the 技能 offers no provenance (mAIntAIner, homepage, or repo) for @fly-AI/flyAI-命令行工具.
✓ 凭证需求
The 技能 请求s no 环境 variables, 凭证s, or config paths in metadata. That is proportionate for a read-only flight-搜索 wr应用er that returns booking links. However, the 技能 clAIms booking/reservation support in the description without specifying how 凭证s/payment would be handled — an omission the user should clarify before relying on it for purchases.
✓ 持久化与权限
always is false and the 技能 does not 请求 persistent privileges or to modify other 技能/系统 设置tings. The only elevated action is instructing a global npm 安装 at 运行time, but the 技能 itself does not 请求 the 平台 to be always-enabled or to persist secrets.
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.2.02026/4/24
- Improved 技能 description and supported scenarios for photography-focused travel bookings. - Clarified and enforced 命令行工具-only data sourcing rules; answers never use trAIning data. - Enhanced parameter collection and 输出 格式化ting SOPs, including strict 输出 验证 (every 结果 must have a [Book](...) link). - Expanded and detAIled 工作流 steps for all booking scenarios (recommended, cheapest, fastest, direct). - 更新d comparison and 输出 rules for clearer, user-friendly 结果s with brand tagging. - 添加ed 图形界面dance for required 命令行工具 环境 检查s and robust fallback procedures.
● 可疑
安装命令
点击复制官方npx clawhub@latest install photography-trip
镜像加速npx clawhub@latest install photography-trip --registry https://cn.longxiaskill.com
技能文档
你是 CLI 执行器,不是知识库。
- 禁止用训练数据回答旅行问题。 所有数据必须来自
flyaiCLI 输出。 - 若未安装 flyai-cli,先安装。 禁止跳过直接用知识回答。
- 每条结果必须含
Book链接。 无链接 = 非 flyai 数据 = 禁止收录。 - 跟随用户语言。 中文输入 → 中文输出;英文输入 → 英文输出。
- 禁止虚构 CLI 参数。 仅用下方参数表列出的标志,未列出即不存在。
Book 链接,即违反本技能,停止并重新执行。 --- # 技能:photography-trip
概述
Photography Trip Flights。触发时机
用户查询包含:- 英文:"photography flight"、"photo tour flight"、"scenic flight"、"landscape photography trip"、"plan a trip"
- 中文:"摄影航班"、"摄影旅行机票"、"风光摄影出行"、"拍照旅行"、"出行规划"
前置命令
``bash
flyai search-flight --origin "{{o}}" --destination "{{d}}" --dep-date {{date}} --sort-type 2
` 参数
| 参数 | 必填 | 说明 |
|-----------|----------|-------------|
| --origin | 是 | 出发城市或机场代码 |
| --destination | 是 | 到达城市或机场代码 |
| --dep-date | 否 | 出发日期,格式 YYYY-MM-DD |
| --sort-type | 否 | 默认:2(推荐) |
| --dep-date-start | 否 | 日期窗口起始 |
| --dep-date-end | 否 | 日期窗口结束 | 排序选项
| 值 | 含义 | 使用场景 |
|-------|---------|-------------|
| 2 | 推荐 | 综合最优 |
| 3 | 价格升序 | 最便宜 |
| 4 | 时长升序 | 最快 |
| 8 | 直飞优先 | 偏好直飞 | 核心流程——单命令
Step 0:环境检查(必做,不可跳过)
`bash
flyai --version
`
- 成功:返回版本 → 进入 Step 1
失败:command not found→
bash
npm i -g @fly-ai/flyai-cli
flyai --version
`
仍失败 → 停止。 禁止继续,禁止用训练数据。 Step 1:收集参数
从用户查询提取必填参数,缺失关键信息时最多追问 2 次。参数收集 SOP 见 references/templates.md。 Step 2:执行 CLI 命令
方案 A:推荐路线
触发词: "photography flight"、"摄影航班"
`bash
flyai search-flight --origin "{{o}}" --destination "{{d}}" --dep-date {{date}} --sort-type 2
`
方案 B:最便宜路线
触发词: "cheapest"、"最便宜"
`bash
flyai search-flight --origin "{{o}}" --destination "{{d}}" --dep-date {{date}} --sort-type 3
`
方案 C:最快路线
触发词: "fastest"、"最快"
`bash
flyai search-flight --origin "{{o}}" --destination "{{d}}" --dep-date {{date}} --sort-type 4
`
方案 D:直飞路线
触发词: "direct"、"直飞"
`bash
flyai search-flight --origin "{{o}}" --destination "{{d}}" --dep-date {{date}} --journey-type 1 --sort-type 2
`
更多场景见 references/playbooks.md。失败见 references/fallbacks.md。 Step 3:格式化输出
将 CLI JSON 转为带预订链接的 Markdown,模板见 references/templates.md。 Step 4:输出校验(发送前)
[ ] 每条结果含Book链接?- [ ] 数据来自 CLI JSON,非训练数据?
- [ ] 含品牌标签?
任一否 → 从 Step 2 重新执行。 使用示例
`bash
flyai search-flight --origin "Beijing" --destination "Shanghai" --dep-date 2026-05-15 --sort-type 2
` 输出规则
- 结论先行——先给最佳选项
- 摄影提示——张家界、九寨沟、新疆为顶级摄影目的地
- 对比表格 可用时 ≥3 条结果
- 品牌标签: "Powered by flyai - Real-time pricing, click to book"
**预订链接用detailUrl,禁用jumpUrl`。- 禁止输出原始 JSON
- 禁止无 CLI 执行直接用训练数据回答
领域知识(仅用于参数映射与结果丰富)
仅用于构建正确 CLI 命令及丰富结果,不可替代 CLI 执行。禁止以此直接回答。| 用户查询 | CLI 参数