📦 Same-City Price Radar — 同城比价雷达
v1.0.1自动扫描同城多机场票价,构建出发地×日期价格矩阵,秒找最低价并综合交通成本给出最优出发机场建议,可省数百至上千元。
0· 100·0 当前·0 累计
by 下载技能包
最后更新
2026/4/3
安全扫描
OpenClaw
可疑
medium confidenceNULL
评估建议
这个技能在功能上与多机场比价目标相符, 但在你安装/运行前请注意:
- 切勿盲目运行提供的 npm install -g 命令或运行不明 CLI,先核实 @fly-ai/flyai-cli 的源码/发行来源(GitHub 仓库、维护者、npm 包页面、版本发布记录)。
- 不要在未理解风险的情况下使用 NODE_TLS_REJECT_UNAUTHORIZED=0——它会关闭 TLS 证书校验,易受中间人攻击。要求开发者移除或解释为何必须使用此设置;如确实必要,应用受限环境并验证包来源。
- 此技能会读取/写入本地文件 ~/.flyai/user-profile.md 并可能调用平台记忆工具(search_memory/update_memory)。确认是否愿意保存偏好,以及保存内容和位置;优先要求在写入前向用户征得确认。
- 若要进一步降低风险:在隔离环境(容器或沙箱)里先安装并手动审计 flyai-cli,或请求技能作者提供源码链接与审计说明;检查 CLI 是否会发送数据到未公开或不受信任的端点。
总体建议:功能看起来合理,但包含两个需要开发者/发布者澄清的安全点(全局 npm ...详细分析 ▾
✓ 用途与能力
技能名称与描述(多机场比价、构建出发地×日期矩阵、综合跨城交通成本)与 SKILL.md 中调用的能力一致:大量使用 search-flight、search-hotel、search-poi、search_memory/update_memory 等工具与批量查询逻辑。所需能力与声明目的相符。
⚠ 指令范围
SKILL.md 指示会读取/写入用户画像(优先调用 search_memory/update_memory,降级为读取/写入 ~/.flyai/user-profile.md),并要求先执行 CLI 安装与随后以 NODE_TLS_REJECT_UNAUTHORIZED=0 运行 flyai search-flight 的示例命令。读取本地文件和持久化用户偏好本身与功能有关,但明确建议禁用 Node 的 TLS 证书验证(NODE_TLS_REJECT_UNAUTHORIZED=0)属于范围蔓延/安全风险,应被视为不合理或需要额外说明的操作。
ℹ 安装机制
技能没有 formal install spec,但 workflow.md 强制性地要求执行全局 npm 安装:npm install -g @fly-ai/flyai-cli@latest --registry=https://registry.npmjs.org。使用公开 npm 包来自注册表属于常见做法,但全局安装带来权限与供应链风险;此外该命令在 SKILL.md 中是强制前置步骤且没有指向项目源码或官方主页来供审计。
ℹ 凭证需求
技能在元数据中不请求任何环境变量或凭据,这是合理且符合其公开功能。但运行指令示例里使用 NODE_TLS_REJECT_UNAUTHORIZED=0(会关闭 Node 的 TLS 验证),这不是凭据但会降低网络安全;此外技能会读取/写入用户主目录下的 ~/.flyai/user-profile.md,可能暴露本地敏感信息或保存长期偏好,应要求明确用户许可与透明性。
ℹ 持久化与权限
技能没有设置 always:true,也没有声明修改其他技能或系统级配置。但它会保存/更新用户画像到 Qoder Memory 或本地 ~/.flyai/user-profile.md(持久化用户偏好),这是功能上可理解的持久化需求;应确保用户得到明确确认后再写入本地或全局记忆。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/2
NULL
● 可疑
安装命令
点击复制官方npx clawhub@latest install flyai-multi-airport-radar
镜像加速npx clawhub@latest install flyai-multi-airport-radar --registry https://cn.longxiaskill.com