by 下载技能包
最后更新
2026/4/24
安全扫描
OpenClaw
可疑
medium confidence该技能声明的目标(编译周报)与其指令相符,但 SKILL.md 要求访问邮件、日历、任务系统和交付渠道,却未声明任何凭据、环境变量或配置路径——这是一处不匹配且可能存在风险的缺口,安装前必须解决。
评估建议
此技能或许真能兑现承诺,但目前遗漏了所需账户与权限的关键信息。安装或启用前,请:
(1) 要求作者明确列出所需凭据及推荐 OAuth 范围(如 Gmail 只读特定标签、Google Calendar 只读、特定任务服务令牌、Telegram bot token 或 Discord webhook),而非依赖隐式 agent 访问。
(2) 优先授予范围极窄的专用令牌(只读、限定文件夹/标签),并用非敏感账户或小标签测试。
(3) 确认报告存储位置与保留时长(memory/weekly-reports/)及谁能访问;必要时将存档目录改为安全路径。
(4) 验证 cron/调度实现方式,并确保可关闭;尽量避免授予系统级调度权限。
(5) 若共享团队报告,确保收件地址/频道已明确且获同意。
若作者更新技能元数据,声明所需 env vars 与配置路径,并收窄指令语言(明确范围、过滤条件、保留策略),即可消除不一致并降低风险。...详细分析 ▾
⚠ 用途与能力
该 skill 声称可从任务、邮件和日历拉取数据,并通过 Telegram/Discord 或文件交付报告。然而,skill 未声明任何必需的环境变量、凭据或配置路径。访问 Gmail/Google Calendar、Apple Calendar、Todoist/Asana/Notion/Trello 以及消息服务通常需要凭据或 API 令牌——这些在元数据中的缺失存在不一致。
⚠ 指令范围
SKILL.md 指示智能体扫描邮件(收发件),读取多种可能的任务来源(包括纯文本文件或“智能体能读取的任何来源”),拉取日历事件,将归档保存至 memory/weekly-reports/,并配置 cron 调度。这些都是敏感操作(邮件与日历扫描、读取任意任务来源、写入归档),而指令对具体范围、过滤条件及保留策略含糊不清——赋予智能体对其可访问数据的广泛裁量权。
✓ 安装机制
无安装规范、无代码文件——该技能仅提供指令,不会由安装器下载或写入任何内容。与拉取外部二进制文件的技能相比,这降低了供应链风险。
⚠ 凭证需求
该技能未列出任何必需的环境变量或主要凭据,却要求访问收件箱、日历、任务 API 和消息投递通道,而这些通常需要 token、OAuth 或 API key。这种不匹配意味着:a) 技能依赖代理的隐式权限(危险/不透明),或 b) 作者遗漏了必需凭据的声明——两者都违背了最小权限和同意透明原则。
ℹ 持久化与权限
always:false(正常)。该 skill 要求安排一个循环 cron 并将报告保存在 memory/weekly-reports/ 下,这意味着需要写入 agent memory 或任务调度器的权限。对于报告类 skill 来说,这种行为是合理的,但应明确说明:该 skill 未声明将修改哪些 config 路径,也未说明如何授权或停止定时运行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/24
- doctorclaw-weekly-report 技能首次发布。 - 自动从任务、邮件和日历事件汇总周报。 - 在一份报告中总结成果、会议、沟通、阻碍及下周重点。 - 支持 cron 定时每周自动生成,也可按需即时生成。 - 可自定义任务来源、日历、邮件、发送方式及报告格式。
● 可疑
安装命令
点击复制官方npx clawhub@latest install doctorclaw-weekly-report
镜像加速npx clawhub@latest install doctorclaw-weekly-report --registry https://cn.longxiaskill.com 镜像可用