by 安全扫描
OpenClaw
安全
medium confidence该技能的请求与指令与历史 NOAA 查询工具一致,但会将街道地址(PII)转发至第三方 Cloudflare Worker——必须获得用户同意,使用前请确认运营商与端点。
评估建议
该技能按描述运行:需提供美国街道地址与日期,并发送至 StormProof 端点(由 hurricaneinspections.com 运营的 Cloudflare Worker)。安装或使用前请注意:
1. 会传输 PII(完整街道地址)——遵循 SKILL.md 中的同意步骤,勿发送其他识别信息;
2. 如在意日志,请确认你信任运营方 hurricaneinspections.com 及其隐私政策和删除流程;
3. 确认平台确实提供 stormproof_lookup 工具绑定(SKILL.md 假定该运行时工具存在);
4. 若需更高隐私,可要求助手仅解释 NOAA 数据概览而不执行查询,或自行在运营方网站查询。
若用于索赔或法律/保险事务,建议获取原始 NOAA 源数据或持牌专业人士的签字报告。...详细分析 ▾
✓ 用途与能力
名称和描述与 SKILL.md 的要求一致:需要一个地址和日期来查询历史 NOAA 站点/潮汐数据。未索取无关的凭据、二进制文件或配置路径。
ℹ 指令范围
说明明确要求将用户的完整街道地址和日期发送至外部 StormProof 服务(Cloudflare Worker),并在日志中保留这些值。该技能在首次调用前还需明确的用户同意步骤,这是恰当的。SKILL.md 并未指示读取其他文件或环境变量。
✓ 安装机制
纯指令型技能,无安装配置、无代码文件——技能本身不会向磁盘写入任何内容,从而最大限度降低安装风险。
✓ 凭证需求
不请求任何环境变量、凭据或配置路径。唯一传输的数据是地址、日期以及声明中提到的固定占位邮箱——这与声明的查询功能相称,但仍属于 PII,会被运营方记录。
✓ 持久化与权限
always:false,未请求特殊权限。该技能默认可被平台自动调用,但 SKILL.md 要求在首次外部查询前必须获得用户明确同意,从而降低自动泄露 PII 的风险。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.12026/4/21
添加了明确的数据流披露、端点识别、保留策略和同意步骤,以应对 ClawHub 安全扫描发现的问题。
● 无害
安装命令
点击复制官方npx clawhub@latest install stormproof
镜像加速npx clawhub@latest install stormproof --registry https://cn.longxiaskill.com