by 安全扫描
OpenClaw
安全
high confidence该技能的文件、指令以及可选的环境变量均与笔记服务集成(OAuth + API 调用)保持一致,未发现明显不匹配或隐藏端点。
评估建议
此技能与 Huadai notes API 集成逻辑清晰。安装前:
1)确认你信任服务/所有者(https://ihuadai.cn),因为技能会在 OAuth 后本地获取并存储 API key(HUADAI_API_KEY)和用户 UUID(openclaw.json)。
2)若凭证缺失,agent 将自动启动 OAuth Device Flow——你必须完成浏览器授权,agent 会在后台轮询 token 端点。
3)附带的脚本会把凭证 JSON 打印到 stdout,技能会捕获并持久化;确保你的环境/会话日志安全。
4)切勿在聊天中粘贴 API key;技能文档明令禁止。
5)如需更严格管控,可手动完成 OAuth,并将 HUADAI_API_KEY/HUADAI_USER_UUID 写入 openclaw 配置,而非使用自动流程。如愿意,提供技能源码来源(repo/owner)并在信任存储凭证前验证。...详细分析 ▾
ℹ 用途与能力
该技能宣传用于创建/更新/搜索个人笔记,所有代码和文档均围绕此目的(API路径、请求头、OAuth)。小不一致:registry元数据未列出必需环境变量,而SKILL.md及引用明确需要HUADAI_API_KEY和HUADAI_USER_UUID(以及OAuth用的HUADAI_BASE_URL);这似乎是元数据遗漏,而非恶意映射。
ℹ 指令范围
运行时指令须严格限定于所述用途:调用服务 API,必须携带 Authorization 与 USER-UUID 头部,且仅返回 API 实际返回的结果。需注意两点:
(1)若缺少凭据,skill 会自动启动 OAuth Device Flow(可能在展示验证链接后于后台轮询);
(2)内含的 oauth_poll.py 会将返回的凭据 JSON 打印至 stdout(指令依赖捕获该输出,把 HUADAI_API_KEY / HUADAI_USER_UUID 写入本地配置)。
这两种行为与所述设置一致,但更加强调用户同意及对返回 API key 的本地安全处理。
✓ 安装机制
无安装规范或远程下载;仅包含一个本地 Python 脚本(oauth_poll.py)和文档文件。安装过程不使用外部压缩包、短链接或不受信任的 URL。
✓ 凭证需求
唯一引用的敏感值为 HUADAI_API_KEY 和 HUADAI_USER_UUID(以及可选的 HUADAI_BASE_URL/HUADAI_CLIENT_ID)。这些直接对应服务的认证模型,并与笔记集成的需求成比例。不会请求任何无关的密钥或系统凭证。
✓ 持久化与权限
该技能并非始终启用,也不会请求提升的平台权限。它会在 OAuth 之后将 API 凭据写入本地 Skill 配置(openclaw.json)——这是持久化集成的预期行为,但意味着本地配置必须被视为敏感信息。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
话袋笔记 Skill 1.0.0 – 初始发布,支持创建、更新和搜索个人笔记;提供详细配置、权限、安全及错误处理规则;支持基于自然语言的指令路由及 API 路由表;明确区分配置、鉴权、规范响应与多人私密性约束。
● Pending
安装命令
点击复制官方npx clawhub@latest install hd-notes-skills
镜像加速npx clawhub@latest install hd-notes-skills --registry https://cn.longxiaskill.com