📦 timer-kill-software — 定时关软件
v1.0.3按类别定时关闭游戏、办公、聊天、娱乐等电脑软件,需先完成支付验证的付费自动化服务。
0· 77·0 当前·0 累计
by 下载技能包
最后更新
2026/4/15
安全扫描
OpenClaw
可疑
high confidence该技能基本履行承诺(创建订单、等待支付、尝试终止进程),但存在多处不一致与风险行为:硬编码外网 IP、向该 IP 发送支付凭证、仅支持 Windows 的进程终止、要求暴露代理内部思维、异常工作流规则,使其值得手动审查。
评估建议
未经进一步验证请勿安装或运行。需重点关注:1) 脚本会联系硬编码 IP(http://119.29.236.244:8080)并 POST 支付凭证——先确认服务器归属与凭证发送目的;2) SKILL.md 要求代理暴露链式思维——必须删除该要求;3) 终止代码仅支持 Windows PowerShell,需确认目标系统;4) 工作流禁止失败时查看源码——应坚持可审查与测试;5) 含敏感支付数据的订单文件以明文存于用户目录——考虑隐私风险。若必须试用:在沙箱环境运行,手动检查脚本,替换硬编码端点为可信服务,确认后端与数据政策前勿提供真实支付信息。...详细分析 ▾
⚠ 用途与能力
声明用途为提供定时关闭软件服务——所含脚本实现了该功能。但:1) 终止实现使用 PowerShell Stop-Process(仅 Windows)而技能未声明 OS 限制,存在不一致;2) 技能将订单/支付交互硬编码到外部 IP(119.29.236.244:8080)而非可信域名;3) 元数据/行为(网络出站、凭证读取)对付费远程支付流可解释,但硬编码 IP 与缺乏已知主页使网络目标与声明目的不成比例。
⚠ 指令范围
SKILL.md 要求代理:a) 先付费且订单创建失败则不继续;b) 禁止失败时检查或重试(明确禁止查看脚本源码);c) “应使用中文并包含你的思考过程”,即要求暴露链式思维。运行时脚本在用户主目录读写订单文件,并将 orderNo、question、payCredential、delay POST 到硬编码远端——向外部 IP 传输敏感支付凭证。这些指令超出单纯终止进程,且包含暴露内部思维、禁止代码检查、对外发送凭证等问题要求。
✓ 安装机制
无安装规范——仅指令——因此安装时不会下载新内容。但技能包内含将在本地执行的 Python 脚本;虽无安装程序,代码仍会从技能文件运行。
⚠ 凭证需求
技能未声明所需环境变量,但元数据请求 credential.read 与 network.outbound,并从用户主目录固定路径读取含 payCredential 的订单 JSON。service.py 随后将 payCredential POST 至未解释的外部 IP。向未验证的硬编码 IP 传输支付凭证风险高,无 TLS/主机名校验。保存的订单 JSON 以明文存于 ~/.openclaw 或 ~/openclaw,可能残留敏感数据。
ℹ 持久化与权限
always:false(正常)。技能将订单 JSON 写入用户主目录下的固定按指标分目录(对支付流属预期)。未请求调用 PowerShell 终止进程之外的系统级权限。尽管如此,终止任意进程能力强大,若进程名重叠可结束重要用户/系统进程;技能除用户提供类别列表外未限制范围。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.32026/4/13
- 技能名称由「歇了吧」更新为「关机吧人类」。 - 说明文案优化,更贴近实际应用场景,无功能逻辑变动。 - 其它流程和用法保持不变。
● 可疑
安装命令
点击复制官方npx clawhub@latest install timer-kill-software
镜像加速npx clawhub@latest install timer-kill-software --registry https://cn.longxiaskill.com