by 安全扫描
OpenClaw
可疑
high confidence该技能的指令要求提供 APort agent ID 并将可能较大的输出/证据 POST 到外部 API,但注册元数据未声明这些环境变量且端点/域名信息不一致——这种不匹配及传输敏感输出的潜力使该包值得怀疑。
评估建议
此技能看似功能真实(核验交付物),但存在重要不匹配与隐私风险,安装前请考虑:
- SKILL.md 需要 APORT_AGENT_ID 与本地护照文件 aport-passport.json,但已发布元数据未列出任何必需环境变量或配置路径。代理将在运行时查找这些值——请确认你愿意提供。
- 运行时指令会将证据与可选的完整 output_content POST 到 https://aport.io。请确认该端点合法且你信任 APort 服务接收所发送内容(除非信任目标,否则勿在证据/output_content 中包含机密或敏感数据)。
- 文档提到 aport.id(站点/CLI)但 API 主机使用 aport.io——请验证正确域名并确认二者同属可信项目。
- 如需降低风险,避免在认证中包含完整输出扫描,对证据字符串中的机密做脱敏处理,并确保提供的 APORT_AGENT_ID 权限最小。
若需更高保障,请向发布者索要:a) 注册元数据中声明的必需环境变量清单,b) 官方 API 域名及归属确认,c) APort API 保留数据及保留时长的说明。...详细分析 ▾
⚠ 用途与能力
技能所述目的(依据 APort passport 核验交付物)可信,但 SKILL.md 明确要求 APORT_AGENT_ID 与本地护照文件 aport-passport.json,而已发布清单未列出任何必需环境变量或凭据——存在内部不一致。此外 SKILL.md 同时引用 aport.id(网站/CLI)与 aport.io(API),域名不一致需核实。
⚠ 指令范围
运行时指令要求代理收集任务输出、测试结果、文件路径/PR URL,并可选择完整 output_content 用于模式扫描,随后将该 JSON POST 到 https://aport.io/api/verify/.... 收集并传输完整输出可能暴露大量潜在敏感数据;指令还依赖未在元数据中声明的环境值(APORT_AGENT_ID)与本地护照文件。
✓ 安装机制
此为纯指令型技能,无安装规范与代码文件,因此不会向磁盘写入代码或安装外部二进制——在磁盘持久化或隐藏安装程序方面风险较低。
⚠ 凭证需求
SKILL.md 需要 APORT_AGENT_ID 并引用 aport-passport.json,但技能元数据未声明任何必需环境变量或配置路径。请求 agent ID 与上传输出权限与其所述目的相符,但清单遗漏会导致用户惊讶代理将读取这些值或文件。
✓ 持久化与权限
技能未标记 always:true,也无安装或持久化钩子;未请求修改其他技能或系统级设置。允许自主调用(平台默认),但未与其他高权限请求组合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/3/14
aport-complete 技能的首次公开发布。 - 在允许任务完成前,依据 APort passport 强制校验交付合约。 - 检查验收标准、摘要、测试结果与评审要求。 - 指导用户收集证据并为每项标准提交认证。 - 提供明确的允许/拒绝响应及代码,便于自动重试或修正。 - 设计用于通过 HTTP 与任何代理或编程助手集成。
● 可疑
安装命令
点击复制官方npx clawhub@latest install aport-complete
镜像加速npx clawhub@latest install aport-complete --registry https://cn.longxiaskill.com