by 安全扫描
OpenClaw
可疑
medium confidence该技能主要用于查询 timor.tech 的中国节假日信息,但存在元数据中未声明的运行时依赖(需要 JS 运行环境如 bun/node)和外部网络请求(向 https://timor.tech 发送 HTTPS 请求)。
评估建议
该技能如描述般工作,但请注意:(1) SKILL.md 指令要求运行 'bun scripts/holiday.ts',但元数据未列出 bun 或运行环境作为必需项;(2) 将发送日期/参数到 https://timor.tech,考虑查询的隐私影响;(3) 包含可执行代码,建议在使用前本地检查脚本;(4) 如需更严格的保证,请要求维护者提供明确的运行环境要求或在隔离环境中运行脚本。...详细分析 ▾
ℹ 用途与能力
名称/描述与代码匹配:脚本调用 timor.tech 节假日 API 并实现文档中的命令。然而,SKILL.md 指示用户运行 'bun scripts/holiday.ts',但技能元数据未列出必需的二进制/运行环境,这是一致性问题(实际需要 JS 运行环境,如 bun)。否则,没有意外的功能(无云凭证,无系统范围访问)。
✓ 指令范围
运行时指令和包含的代码坚持已声明的目的:解析日期/命令、验证输入、向 https://timor.tech/api/holiday 发出 HTTPS GET 请求。指令不请求无关文件、额外环境变量,也不超出查询参数(日期/类型)范围外filtrate 任意数据。
ℹ 安装机制
没有安装规格(没有下载或安装包),这降低了风险,但捆绑包包括 TypeScript 脚本(scripts/*.ts)并期望其被执行。未声明必需的二进制/运行环境(bun)和安装步骤是用户应该注意的实现缺口。
✓ 凭证需求
该技能不请求环境变量、凭证或配置路径。代码不发送秘密或令牌;仅向 timor.tech 发出未经认证的 GET 请求。请求的环境访问与任务成比例。
✓ 持久化与权限
always: false 且该技能不尝试修改其他技能或系统范围的代理配置。元数据中没有安装钩子或自动运行权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/12
初始发布
● 无害
安装命令
点击复制官方npx clawhub@latest install cn-holiday
镜像加速npx clawhub@latest install cn-holiday --registry https://cn.longxiaskill.com
技能文档
查询中国公众节假日、调休、工作日安排,通过 timor.tech API 获取数据。
快速开始
- 无需 API 密钥。
- 在技能目录中运行
bun scripts/holiday.ts --help。 - 从
references/command-map.md选择匹配的命令。
工作流程
- 解析用户意图 — 确定日期和查询内容。
- 选择合适的命令:
info、year、batch或next。 - 运行脚本并返回结果。
- 对结果进行自然语言解释。
响应解释
type.type 字段含义
| 值 | 含义 |
|---|---|
| 0 | 工作日 |
| 1 | 周末 |
| 2 | 节日 |
| 3 | 调休补班 |
wage 字段含义(加班工资倍率)
| 值 | 含义 |
|---|---|
| 1 | 正常工资 |
| 2 | 双倍工资 |
| 3 | 三倍工资 |
holiday.holiday 字段
true= 放假false= 补班
注意事项
- 该技能以脚本为首, 不运行 MCP 服务器。
- 数据源:timor.tech(基于国务院节假日公告)。
- 无需 API 密钥。
- 覆盖当前年和相邻年份的假期安排。