by 安全扫描
OpenClaw
安全
high confidence该技能的文件、指令及可选环境变量与其作为俄罗斯建筑估算助手的既定目的一致;所提供的构件中无任何迹象表明存在隐蔽的数据外泄或无关权限。
评估建议
该包内容聚焦俄罗斯工程估算,结构清晰。
安装或本地运行任何自带脚本前,请手动检查 install.sh 及拟执行脚本,确认其不会连接意外的外部端点。
若启用集成功能(Google Sheets、Telegram、Anthropic/OpenAI),请提供专用、最小权限凭据(仅限单张表格的服务账号、范围极窄的机器人令牌),并知晓启用后 skill 将可对外收发数据。
文档存在微小矛盾:SKILL.md 声称无网络请求,却又宣传集成——请与供应商确认或通过脚本人工复核,核实实际网络行为。
若对估算或客户数据有保密顾虑,请在受控环境或沙箱中运行 skill,并在确认行为前限制集成凭据权限。...详细分析 ▾
✓ 用途与能力
名称/描述(使用MDS/FER/TER/GESN规范的俄罗斯建筑估算器)与所含资产一致:SKILL.md、config.yaml、示例、入门指南、ROI文档及KS-2/KS-3模板。可选集成(Google Sheets、Telegram、Anthropic/OpenAI)与宣传的“agent / n8n / TG / Sheets”部署相符,并在元数据中标注为可选。无需无关凭据或二进制文件。
✓ 指令范围
SKILL.md 中的运行时指令将 agent 限制在估算、审计、文档生成、入门引导和配置任务范围内。我在 SKILL.md 中未看到任何让 agent 读取无关系统文件、收集凭据或将数据发送到未知端点的指令。对集成(n8n、Google Sheets、Telegram)的引用仅作为产品级选项提出,并非核心 SKILL.md 流程所必需。
✓ 安装机制
未声明安装规范以支持自动安装(仅提供说明)。所示的打包脚本(build.sh)仅用于本地打包与冒烟测试,不会下载外部代码或调用远程主机。打包产品应提供 install.sh 及测试脚本;由于无自动安装规范,平台不会自动运行这些脚本。若计划在本地执行,请手动审查 install.sh。
ℹ 凭证需求
技能元数据列出可选环境变量(ANTHROPIC_API_KEY、OPENAI_API_KEY、GOOGLE_SHEETS_CREDENTIALS_JSON、TELEGRAM_BOT_TOKEN),用于可选集成(LLM 后端、Sheets 导出、Telegram bot)。这些均为可选,非必需。小不一致:SKILL.md 元数据声明 network_behavior: makes_requests: false,而产品文案宣传的集成需网络访问;此为文档不符,需留意,但未必恶意。
✓ 持久化与权限
always:false 且未声明任何必需的 config 路径或凭据。该 skill 不请求永久或提升的平台权限。默认允许自主调用(平台正常),但不存在 'always:true' 或其他异常持久化。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.5.12026/4/21
初始市场发布。
● 无害
安装命令
点击复制官方npx clawhub@latest install raai-estimator-pro
镜像加速npx clawhub@latest install raai-estimator-pro --registry https://cn.longxiaskill.com镜像同步中