by 安全扫描
OpenClaw
可疑
high confidence该技能用于控制 QQ 音乐的行为合理,但指令引用了未包含的 AutoHotkey 脚本,且技能元数据未声明 AutoHotkey 依赖项 — 这可能是包装不良或隐藏了将在您的机器上运行的未知脚本。
评估建议
该技能似乎是一个简单的 AutoHotkey 脚本运行器,但实际的 .ahk 脚本未包含,清单也未声明 AutoHotkey 为必需的二进制文件。安装或运行前:(1) 从可信源获取并检查脚本 scripts/qqmusic_media_keys.ahk 内容 — AutoHotkey 脚本可以执行任意系统操作;(2) 确保正确安装了 AutoHotkey v2 并理解将要运行的确切命令;(3) 优先选择包含代码或可验证主页/源的技能;(4) 不要运行来自不可信发布者的未知 AutoHotkey 脚本或命令。如果发布者可以提供缺失的脚本或可信赖的源 URL,请在验证其内容后重新评估。...详细分析 ▾
⚠ 用途与能力
名称/描述与指令匹配(向 QQ 音乐发送媒体键命令)。然而,SKILL.md 声明依赖于 AutoHotkey v2,而注册表元数据列出了没有必需的二进制文件 — 并且运行时命令引用了不包含在技能包中的 scripts/qqmusic_media_keys.ahk。该缺失的脚本和省略的依赖项是不一致的。
⚠ 指令范围
指令范围狭窄(运行 AutoHotkey 以发送媒体键)。但它们假设本地脚本 scripts/qqmusic_media_keys.ahk 存在;捆绑包仅包含 SKILL.md。由于 AutoHotkey 脚本可以执行任意系统操作,脚本的缺席意味着代理或用户需要获取并运行一个未知内容的外部脚本 — 这是一个范围和供应链风险。
✓ 安装机制
无安装规格(仅指令) — 安装风险低。技能本身没有下载或写入任何内容。
✓ 凭证需求
技能不请求环境变量、凭证或配置路径。这与其声明的目的成比例。
✓ 持久化与权限
技能不请求 always: true 或提升持久性,并且在其元数据中不修改其他技能或系统范围的设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.12026/3/19
改进英文描述和标签。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install qqmusic-control
镜像加速npx clawhub@latest install qqmusic-control --registry https://cn.clawhub-mirror.com
技能文档
用法
播放/暂停
``AutoHotkey64.exe scripts/qqmusic_media_keys.ahk 1### 下一首
AutoHotkey64.exe scripts/qqmusic_media_keys.ahk 2### 上一首
AutoHotkey64.exe scripts/qqmusic_media_keys.ahk 3``
说明
- 依赖 AutoHotkey v2(路径可按需调整)
- QQ 音乐需已打开(后台也可)
- 使用系统媒体键,不依赖窗口焦点
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制