by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了飞书日历客户端(合理需要App ID/Secret),但包装/metadata不一致和鼓励嵌入凭证的指令降低了信心——安装前请审查。
评估建议
该技能看似如其所言(飞书日历客户端),但存在包装和指导问题,安装前应解决:1) 注册元数据声称无需环境变量,但package.json和SKILL.md需要FEISHU_APP_ID和FEISHU_APP_SECRET。2) 不要在源代码中硬编码App Secret,使用环境变量或秘密存储。3) 验证引用的GitHub仓库/源代码。4) 检查请求的飞书应用权限,仅授予必要权限。5) 在审查代码和验证行为前,在受限环境中运行技能。如果需要更高的保证,请要求发布者修复注册元数据并提供签名发布或仓库链接。...详细分析 ▾
ℹ 用途与能力
名称/描述、SKILL.md、package.json和calendar-client.js都描述了飞书日历客户端并使用飞书API——这与声明的目的相符。然而,注册元数据未列出所需的环境变量或主要凭证,而package.json.openclaw.config和SKILL.md需要FEISHU_APP_ID和FEISHU_APP_SECRET。这种元数据不匹配是不合理的,应进行更正。
ℹ 指令范围
SKILL.md和example.md仅指示调用官方飞书端点(令牌、日历、事件)。它们不要求代理读取无关的系统文件或向第三方端点泄漏数据。然而,文档鼓励直接将凭证嵌入代码示例(代码块和示例),这是一种不良做法,如果用户复制/粘贴凭证,会增加风险。
✓ 安装机制
未使用网络安装/下载或不明确的安装程序 — 这是一个仅指令的技能,带有小型JS客户端和package.json。无提取/下载URL或第三方安装程序。
⚠ 凭证需求
该技能需要FEISHU_APP_ID和FEISHU_APP_SECRET才能运行(package.json.openclaw.config和SKILL.md)。这些凭证与功能成比例。但注册元数据错误地列出无需环境变量;calendar-client.js在代码中提供了硬编码的占位符默认值,这可能会鼓励不安全的做法。要求保密是预期的,但不一致的元数据和将秘密放在代码中的指导是有问题的。
✓ 持久化与权限
always为false,无配置路径或平台全局更改被请求,该技能也不声称修改其他技能。自主调用保持启用(平台默认),但未与其他高风险标志结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/1
初始发布,带来新的简洁代码库和中文文档。- 用简洁的客户端实现(calendar-client.js)和用法示例(example.md)替换了之前的脚本和元文件。- 移除了日历操作的遗留例程和测试脚本。- 提供了涵盖功能、设置、API使用、时区、提醒和错误处理的全面中文文档。- 核心功能:列出日历、查询/创建/更新/删除事件、支持重复规则、多个提醒、全天和时区处理。
● 无害
安装命令 点击复制
官方npx clawhub@latest install feishu-calendar-event
镜像加速npx clawhub@latest install feishu-calendar-event --registry https://cn.clawhub-mirror.com
技能文档
功能概述
该技能提供飞书日历管理功能,支持获取日历列表、查询、创建、更新、删除日程事件及设置重复和多级提醒。用法示例
请参阅example.md设置和API使用
请参阅中文文档(docs/README.cn.md)核心功能
- 列出日历
- 查询/创建/更新/删除事件
- 支持重复规则、多个提醒、全天和时区处理
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制