by 安全扫描
OpenClaw
安全
high confidence该技能与其声明的目的(gcalcli 指令集)保持内部一致,不请求 gcalcli 正常使用范围之外的无关凭据、安装或网络端点。
评估建议
该技能适用于通过 gcalcli CLI 管理谷歌日历。安装前:(1) 确保已安装并完成 gcalcli 身份验证(gcalcli 在本地存储 OAuth 令牌);(2) 阅读并接受策略:代理可能会执行明确的删除/编辑操作而无需额外确认提示——如需始终询问,请修改 SKILL.md;(3) 避免在命令行传递客户端密钥(README 示例仅作演示,可能通过进程列表泄露);(4) 在可信环境中运行,因为该技能将调用 gcalcli,后者可通过本地 OAuth 令牌访问您的日历数据。...详细分析 ▾
✓ 用途与能力
名称/描述与运行时指令一致:该技能需要 gcalcli 二进制文件,所有指令都围绕使用 gcalcli 读取/搜索/创建/删除日历事件。未请求无关的二进制文件、服务或环境变量。
ℹ 指令范围
SKILL.md 专注于使用 gcalcli 进行日历管理。一个有意的用户体验选择:当技能认为匹配明确时,会跳过破坏性操作的明确用户确认。SKILL.md 记录了保护措施(受限窗口、单一匹配要求、删除后验证、模糊时的消歧)。这是一个策略决策而非不一致,但用户应该注意'明确'删除/编辑的自动执行行为。
✓ 安装机制
纯指令技能,无安装规范。风险较低:技能本身不下载或写入任何内容,只是假设 gcalcli 已经安装。
✓ 凭证需求
技能未声明所需的环境变量或凭据。README 解释说 gcalcli 本身使用 OAuth2 并在本地存储令牌;这对于谷歌日历客户端是预期的。注意:README 展示了在 gcalcli 命令行传递 client-id/client-secret 的示例——这是用户配置指导,而非技能声明的要求,但在命令行传递密钥可能通过进程列表暴露,操作者应避免这种做法。
✓ 持久化与权限
技能不请求持久/始终开启的权限(always: false)。它不修改其他技能或系统级设置。自主调用(disable-model-invocation: false)是平台默认设置,在此不过度。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/19
quick-gcalcli 1.0.2 - 此版本无用户可见或功能变更。- 文档、代码和逻辑保持不变。- 仅修改 README.md 文件。建议手动进行 OAuth 身份验证,而非通过代理。
● 无害
安装命令
点击复制官方npx clawhub@latest install quick-gcalcli
镜像加速npx clawhub@latest install quick-gcalcli --registry https://cn.longxiaskill.com
技能文档
请提供 SKILL.md 原始内容以便翻译