by 安全扫描
OpenClaw
可疑
medium confidence该技能的描述和可选集成与某个分析工具相符,但软件包中包含安装/测试脚本(不仅仅是说明文字),并要求你在配置中填入敏感的财务数据——在运行前请检查这些脚本及所有网络调用。
评估建议
该软件包看起来确实像它所声称的 analytics skill,但在安装或运行脚本前请务必采取以下预防措施:
1)打开并检查 install.sh 和 test/smoke-test.sh,搜索网络调用(curl、wget、nc、python requests)、远程 URL 或修改无关系统文件的命令。
2)若无法完全验证脚本,请在一次性环境(VM、容器或临时账户)中运行安装程序与冒烟测试。
3)在确认数据发往何处前,不要将真实 API key 或财务数据粘贴到 config.yaml;可选的环境变量(OpenAI/Anthropic/Google Sheets/Telegram/Supabase)会触发向外发送行为。
4)备份安装程序可能修改的任何文件,并尽量以最小权限运行。
5)若要获得更高保障,可要求提供 install.sh 和 smoke-test.sh 的完整内容并分享,以便集中审查——其内容决定在你的机器上运行是否安全。...详细分析 ▾
✓ 用途与能力
名称、描述、SKILL.md 和 config.yaml 保持一致:这是一个 CFO/业务分析技能,要求用户提供公司/财务数据,并可选择集成 model API、Sheets、Telegram 或 Supabase。可选环境变量(ANTHROPIC_API_KEY、OPENAI_API_KEY、GOOGLE_SHEETS_CREDENTIALS_JSON、TELEGRAM_BOT_TOKEN、SUPABASE_URL)与所述集成保持一致。
ℹ 指令范围
运行时指令要求向 config.yaml 中填入可能敏感的财务数据,并运行提供的脚本(install.sh、smoke-test.sh)。这对本地 analytics skill 是合理的,但它将 agent 的操作范围扩展到了纯 prompt-only 之外(文件 I/O、本地安装)。SKILL.md 未明确指示将数据发往外部端点,但若用户提供凭据,可选的集成会这样做。
⚠ 安装机制
Registry 声明无安装规范(仅指令),但包内实际包含 install.sh、test/smoke-test.sh 及 build.sh。build.sh 看似无害(仅本地打包),但 install.sh 与 smoke-test.sh 的完整内容未在此展示——任何安装/测试脚本均可修改用户文件或执行网络 I/O。由于实际安装脚本行为未知,存在风险,执行前应先行检查。
✓ 凭证需求
未声明任何必需的密钥。可选环境变量与所述功能(LLM 模型、Google Sheets 集成、Telegram bot、Supabase)相符,未出现无关凭据的未解释请求。然而,提供这些可选密钥将启用联网行为,并可能导致数据向第三方传输。
✓ 持久化与权限
始终为 false,且未声明任何授予跨技能或系统级权限的配置路径。README/安装流程建议复制到 ~/.openclaw/skills,这是技能的合理安装位置。没有任何迹象表明会修改其他技能或强制始终在线。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.5.12026/4/21
首次市场发布
● 无害
安装命令
点击复制官方npx clawhub@latest install raai-business-analyst-pro
镜像加速npx clawhub@latest install raai-business-analyst-pro --registry https://cn.longxiaskill.com