by 安全扫描
OpenClaw
可疑
medium confidence该技能的所述目的(使用gcalcli管理日历)是合理的,但其运行时指令引用未在技能元数据中声明的敏感凭证(Google API密钥或CalDAV用户/密码)——在信任它之前应解决的不一致问题。
评估建议
在安装之前,要求发布者更新技能元数据以声明它确切需要哪些凭证(GOOGLE_CALENDAR_API_KEY或CALDAV_*变量)以及这些凭证如何使用/存储。验证技能的来源(没有列出主页或存储库),优先自己安装gcalcli,而不是让代理自动运行pip。谨慎授予代理访问包含API密钥或密码的环境变量或配置文件的权限;如果您必须使用此技能,请将凭证存储在安全的地方(不是共享环境),并在沙盒账户中运行技能。最后,确认gcalcli将如何认证(OAuth客户端文件、令牌缓存如~/.gcalcli_oauth或纯API密钥),以便您知道秘密将存储在磁盘上的位置。...详细分析 ▾
ℹ 用途与能力
名称/描述与实际行为匹配(gcalcli CLI调用)。要求gcalcli二进制文件并为gcalcli提供pip安装与所述目的相称。然而,SKILL.md提及需要GOOGLE_CALENDAR_API_KEY或CALDAV_URL/CALDAV_USER/CALDAV_PASS,而技能元数据未列出所需的环境变量或凭证——这种不匹配是意外的。
⚠ 指令范围
SKILL.md包含具体的gcalcli命令(agenda、add、delete),这些保持在日历管理范围内。但它明确将API密钥/CalDAV凭证作为所需输入;这些凭证很敏感,指令未说明它们如何提供或存储。指令给出广泛的示例,但不限制凭证来自何处,如果代理被授予访问环境/配置的权限,这会增加风险。
ℹ 安装机制
安装是直接的pip install gcalcli,这对于此工具是预期的。pip安装在这里很常见且合理,但它们带有从PyPI安装包的通常供应链风险。不使用晦涩或远程下载URL。
⚠ 凭证需求
技能元数据不声明所需的环境变量,而SKILL.md明确引用GOOGLE_CALENDAR_API_KEY或CALDAV_URL/CALDAV_USER/CALDAV_PASS。隐含敏感变量(API密钥、用户名、密码)但未声明为所需——这是一个危险信号,因为代理或用户可能被要求提供或暴露秘密,而没有清晰的元数据或来源。
✓ 持久化与权限
该技能不请求always:true,不声称修改其他技能或全局代理配置。允许代理自主调用(平台默认),但这本身对于典型技能是预期的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/4
初始发布
● 无害
安装命令 点击复制
官方npx clawhub@latest install brainz-calendar
镜像加速npx clawhub@latest install brainz-calendar --registry https://cn.clawhub-mirror.com
技能文档
Use gcalcli to interact with Google Calendar. Requires GOOGLE_CALENDAR_API_KEY (or CALDAV_URL/CALDAV_USER/CALDAV_PASS for CalDAV).
Listing Events
List upcoming events in a date range:
gcalcli agenda "2026-02-03" "2026-02-10"
Creating Events
Add a new calendar event:
gcalcli add --title "Team sync" --when "2026-02-04 10:00" --duration 30
Deleting Events
Delete an event by search term:
gcalcli delete "Team sync"
Install
pip install gcalcli
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制