by 安全扫描
OpenClaw
安全
high confidence这是一个纯说明型的“订花”技能,所需权限/资源与其描述一致(无安装、无凭证请求),但下单与支付的具体流程在说明里没有明确说明,建议在使用前确认订单提交流程与支付安全性。
评估建议
该技能本身与其说明一致且没有要求额外凭证或安装,但在安装/使用前请注意:
- 确认“下单/支付”具体由哪个后端处理:询问或查看技能文档,确保订单不会被提交到未知或不受信任的第三方地址。技能说明没写明提交 API 或支付流程,这点需要明确。
- 切勿在未确认安全性前通过对话直接发送完整的支付卡号/第三方支付凭证等敏感信息;如果需要付款,优先使用可信的支付页面或平台受管渠道。
- 商品图片链接指向 twl000.oss-cn-hangzhou.aliyuncs.com(阿里云 OSS),这本身不是恶意,但说明来自“未知来源/无主页”,若你关心商家信誉,请先在受信渠道验证卖家信息或试用无需真实支付的流程进行测试。
- 若要更高安全性:仅在有可验证发布者或官方主页、并明确订单/支付端点的技能上使用真实个人/支付信息。
总体来看此技能内部自洽(benign),但因下单/支付流程不明确,建议在确认这些细节后再投入真实交易。详细分析 ▾
✓ 用途与能力
技能名称与描述是一致的:提供商品浏览、推荐、下单与订单确认。SKILL.md 提供了商品目录、ID、价格与图片链接,所需的信息与订花/下单场景相符,没有请求与花店业务无关的环境变量、二进制或配置路径。
ℹ 指令范围
说明文档把范围限定为只能从提供的商品列表中选择,这在功能边界上是明确的。没有任何指示去读取本地文件、系统环境或其它不相关资源。不过,SKILL.md 未说明“提交订单”的具体目标:没有列出订单提交的 API 端点、服务器域名或支付处理方式,导致下单/支付步骤在运行时可能依赖平台默认行为或进一步的交互,这是一处模糊点,需在启用前确认。
✓ 安装机制
技能为 instruction-only(仅 SKILL.md),没有安装规范、没有下载或提取远程代码、也没有本地代码文件,静态安装风险极低。
✓ 凭证需求
不要求任何环境变量、凭证或配置路径;没有请求支付令牌、云凭证或其他敏感凭证,与其功能需求相称。
✓ 持久化与权限
没有设置 always:true,默认也允许模型自主调用(平台默认)。技能不请求修改其他技能或系统配置,也不保存持久凭证,因此特权与持久化要求合理且有限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/15
- 商品数据文件 references/products.json 被移除,商品数据直接内嵌在说明文档中。 - 技能描述和输出规范简化,聚焦于只推荐3款商品,并以选定鲜花ID提交订单。 - 商品列表、卡片展示相关内容调整,去除原有流程和分类、推荐逻辑细节。 - 保留下单流程及字段收集要求,订单提交和支付说明保留。 - 相关话术模板与重要限制说明得到精简和集中表述。
● 可疑
安装命令
点击复制官方npx clawhub@latest install tiaowulan-flower-shop
镜像加速npx clawhub@latest install tiaowulan-flower-shop --registry https://cn.longxiaskill.com镜像同步中
技能文档
未提供 SKILL.md 文档内容