by 安全扫描
OpenClaw
可疑
high confidence此技能似乎实现了诚实的天气功能,但存在多个元数据/指令不一致的问题,以及意外的计费集成,在信任或安装之前需要澄清。
评估建议
此技能的天气功能使用 wttr.in,看起来无害,但它还包含一个计费集成(SkillPay.me),需要你提供 SKILLPAY_API_KEY 可能会向用户收费(0.001 USDT/次)。在安装或提供任何 API 密钥之前:(1) 确认技能的真实发布者和来源(存在 ownerId/slug/name 不匹配)。(2) 确认你是否接受这种变现流程——了解该技能何时会调用 billing.py,以及你的用户是否会被收费。(3) 在将 SKILLPAY_API_KEY 粘贴到不受信任代码可访问的环境之前,请验证支付提供商和技能所有者。(4) 如果你只需要天气数据,请考虑使用不含计费的技能,或要求作者提供不含计费代码的版本。如果需要更高的保证,请要求维护者修复元数据以明确声明 SKILLPAY_API_KEY,并解释计费工作流程和所有者身份。...详细分析 ▾
⚠ 用途与能力
该技能声称天气数据"无需 API 密钥"(这对于 wttr.in 确实如此),但 SKILL.md 和计费脚本需要 SKILLPAY_API_KEY 用于变现。注册表元数据未列出所需的环境变量或主要凭据,但运行时指令却要求提供 API 密钥。文件/所有者/slug/name 不匹配(_meta.json、注册表的 ownerId/slug 和 SKILL.md 名称不同),这与单一作者、单一功能的技能不一致。
⚠ 指令范围
SKILL.md 指示代理在天气调用之前或同时运行计费步骤(scripts/billing.py --charge --user-id <id>);这会向 https://skillpay.me 发送数据并需要 API 密钥。除了联系 wttr.in 获取天气和 skillpay.me 进行计费外,这些脚本不会读取任意本地文件或其他环境变量。这个令人惊讶的主动向用户收费的指令超出了最小化"天气"技能的范围,应该向最终用户/管理员明确说明。
✓ 安装机制
没有安装规范或远程下载;该技能是纯指令式的,包含 Python 脚本。未使用外部归档文件、包安装或不寻常的安装位置。
⚠ 凭证需求
代码正当地使用单个环境变量 SKILLPAY_API_KEY 进行计费,这与计费功能成比例。然而,顶层技能元数据声明没有所需的环境变量,而 SKILL.md 将 SKILLPAY_API_KEY 标记为必需。这种不匹配掩盖了正在请求的密钥访问,可能会欺骗用户在未意识到其必要性的情况下提供 API 密钥。
✓ 持久化与权限
该技能不请求 always:true,不修改其他技能或系统设置,也不在其脚本之外尝试持久化。自动调用保持启用(默认),但不与广泛权限结合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
- Weather Plus 技能初始版本发布 - 获取全球任意城市的当前天气、多日预报(最多7天)和体感温度 - 根据天气提供穿衣指数和穿着建议 - 无需外部 API 密钥;通过 SkillPay.me 集成计费,每次调用 0.001 USDT - 包含天气、预报、穿衣建议和计费管理的命令行脚本
● 无害
安装命令
点击复制官方npx clawhub@latest install aaad123
镜像加速npx clawhub@latest install aaad123 --registry https://cn.longxiaskill.com镜像同步中
技能文档
Weather, forecasts, clothing index & feels-like temperature. No API key needed. 0.001 USDT/call.
Commands
| Command | Script | Description |
|---|---|---|
| weather | scripts/weather.py | Current weather + feels-like |
| forecast | scripts/forecast.py | Multi-day forecast (up to 7 days) |
| clothing | scripts/clothing.py | Clothing/dressing index + recommendations |
| billing | scripts/billing.py | SkillPay charge/balance/payment |
Workflow
1. Billing: python3 scripts/billing.py --charge --user-id
- Weather: python3 scripts/weather.py --city "Beijing"
- Forecast: python3 scripts/forecast.py --city "Shanghai" --days 5
- Clothing: python3 scripts/clothing.py --city "Chengdu"
Examples
# Current weather python3 scripts/weather.py --city "New York" python3 scripts/weather.py --city "成都"# Multi-day forecast python3 scripts/forecast.py --city "Tokyo" --days 7
# Clothing index python3 scripts/clothing.py --city "Beijing" python3 scripts/clothing.py --city "London"
Config
| Env Var | Required | Description |
|---|---|---|
SKILLPAY_API_KEY | Yes | SkillPay.me API key |
References
See references/clothing-index.md for dressing recommendation methodology.