by 安全扫描
OpenClaw
安全
high confidence技能的请求(curl + BAIDU_MAP_AUTH_TOKEN)和运行指令与其声明的映射能力一致,不请求无关权限或安装。
评估建议
此技能看似合理:仅需curl和您的BAIDU_MAP_AUTH_TOKEN调用百度地图端点。安装前确认提供的token是正确的Agent Plan token。了解提供token将允许技能代表您调用百度地图API,可能传输用户提供的坐标或地址。确保这符合您的隐私政策。如果需要更强的保证,验证仓库/主页是否官方,token范围是否最小化且在泄露时旋转。如果不使用百度地图,请不要设置token。...详细分析 ▾
✓ 用途与能力
名称/描述(地点、方向、地理编码、逆地理编码、天气)与所需二进制(curl)和单个BAIDU_MAP_AUTH_TOKEN凭证一致,请求内容看似与映射功能无关。
✓ 指令范围
SKILL.md仅指示使用声明的token调用百度地图端点,并包括限制操作的规则(例如,不造假坐标)。它不指示读取其他系统文件、无关环境变量或向意外端点进行数据外泄。
✓ 安装机制
仅指令的技能,无安装规格和代码文件——最低风险安装足迹。需要curl(适用于HTTP调用)。
✓ 凭证需求
仅需要BAIDU_MAP_AUTH_TOKEN,并如文档所述用于Authorization头。单个凭证与描述的API使用成比例。
✓ 持久化与权限
always为false,无安装操作,此技能不请求永久的代理范围权限或修改其他技能/配置——适合其目的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.42026/4/1
版本 1.0.4 - 更新文档以采用更严格的参数来源规则:如中心点、位置和参考POI等坐标必须不被发明——必须在未指定时提示用户或从可靠工具获取。 - 澄清处理“ 我附近”等模糊术语时,只能从上下文推断地点名称,不得推断坐标。 - 明确指出在地点搜索中使用中心点必须来自用户、地理编码或地点工具。 - 删除处理模糊区域在错误处理中的提及:用户应被提示澄清缺少的必填参数。 - 无代码更改;文档和约束提高以确保可靠性和合规性。
● Pending
安装命令
点击复制官方npx clawhub@latest install baidu-ai-map
镜像加速npx clawhub@latest install baidu-ai-map --registry https://cn.longxiaskill.com
技能文档
# 百度地图服务 Agent Plan 提供大模型直接调用百度地图能力,支持语义化 AI 搜索、智能路线规划、天气查询、地理编码与逆地理编码。...(完整文档与原文相同,仅示例前段)