by 安全扫描
OpenClaw
可疑
medium confidence该技能的功能(监控 + 警报)大体一致,但存在未说明的不一致(声明的需求与 SKILL.md 之间),以及本地安装/测试脚本,运行前请复查。
评估建议
该包看似实现了其宣称的功能(监控、playbooks、报告),但在安装或运行前务必确认三点:
1) 元数据不匹配——SKILL.md 要求 LLM API key(OPENAI/ANTHROPIC),但 registry 元数据未列出所需环境变量。请发布者澄清并更新 registry 字段。
2) 逐行检查 install.sh 和 test/smoke-test.sh 脚本(它们可在你的机器上执行任意命令),先在沙箱或 VM 中运行。
3) 仅为可选集成提供最小权限凭证(Telegram bot token、Google Sheets service account JSON、SMTP)。若必须提供 LLM API key,建议使用带速率限制和监控的专用 key,并了解提示/数据将发送至 LLM 提供商。若需更高可信度,请索取完整的 install.sh 与 smoke-test.sh 内容(或安全审计),并确认技能发布者身份/来源,因该包来源未知。...详细分析 ▾
ℹ 用途与能力
名称/描述(基础设施 + 施工监控)与文件和模板(dashboards、playbooks、config.yaml)一致。可选集成(Telegram、Google Sheets、SMTP)适用于警报/报告。然而,registry 元数据声称无需环境变量,而 SKILL.md 却明确要求 LLM API key(OPENAI_API_KEY 或 ANTHROPIC_API_KEY)——元数据存在不一致,应予以修正/澄清。
ℹ 指令范围
SKILL.md 保持主题一致:它指导填写 config.yaml、运行 install.sh/smoke-test.sh,以及使用 LLM 驱动的命令(dashboards、playbooks、reports)。在可见内容中,它并未指示读取无关系统文件或泄露机密。注意:config.yaml 要求输入敏感业务数据(每小时收入、停机成本)——这是 ROI 计算所需,但属于敏感信息,仅在本地使用,除非集成将其发送至别处。
ℹ 安装机制
Registry 将其列为仅指令(无远程安装规范)。软件包包含本地脚本(install.sh、build.sh、test/smoke-test.sh)。这些脚本在本地运行(构建 zip、执行冒烟测试)。风险低于远程下载,但任何提供的安装/测试脚本都可能执行任意命令——运行前应审查。提供的文件摘录中未发现远程下载或可疑 URL。
⚠ 凭证需求
SKILL.md 需要 LLM API 密钥(OPENAI_API_KEY 或 ANTHROPIC_API_KEY),并列出可选的 TELEGRAM_BOT_TOKEN、GOOGLE_SHEETS_CREDENTIALS_JSON、SMTP_HOST。这些与基于 LLM 的监控和告警成比例。问题在于注册元数据(前面部分)声明没有必需的环境变量——这种不匹配是不一致的。此外,GOOGLE_SHEETS_CREDENTIALS_JSON 是敏感凭据;请确保仅为外部集成提供最小权限凭据,并验证其使用/传输的位置和时间(该技能将调用 LLM 和可选的外部 API)。
✓ 持久化与权限
该 Skill 并非 always:true,亦未在所提供材料中请求提升的平台权限。无证据表明其试图修改其他 Skill 或系统级设置。但 install.sh / 测试脚本可能会进行系统更改——运行前请审查。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.5.12026/4/21
初始市场发布。
● 无害
安装命令
点击复制官方npx clawhub@latest install raai-ai-monitor-pro
镜像加速npx clawhub@latest install raai-ai-monitor-pro --registry https://cn.longxiaskill.com