← Back to Skills Marketplace
travel-schedule-brainstrom
by
David-Cai-GPT
· GitHub ↗
· v1.0.0
· MIT-0
92
Downloads
2
Stars
0
Active Installs
1
Versions
Install in OpenClaw
/install travel-schedule-brainstrom
Description
在旅游需求模糊时,用对话一步一步澄清并给出可行方案;预算充足时用 FlyAI CLI(search-hotels / search-poi / search-flight)辅助酒店、景点与机票扫描。全程中文。用户已说清的目的地/时间/预算等直接采用;未说清时优先用天数与预算收敛。触发:不知道去哪、帮我规划、查酒店...
Usage Guidance
该技能在功能上与旅行规划一致,但在关键实现细节上不够透明:
- FlyAI CLI 的存在/来源与凭据没有被声明。确认你是否已安装官方 flyai CLI、它来自可信来源(官网/GitHub release),以及它是否需要 API key 或登录令牌;技能本身没有说明这些。不要在不了解 CLI 来源或凭证存放位置的情况下授权或输入敏感凭据。
- 强烈不要常规使用 NODE_TLS_REJECT_UNAUTHORIZED=0 来绕过证书校验。此操作会使 HTTPS 请求不再验证服务器证书,容易遭遇中间人攻击。若确有证书问题,应修复根本原因或只在受控测试环境下短时使用,并且不要把这一环境变量设为全局或应用于不受信任的网络调用。
- 在让代理执行任何 flyai 命令前,要求技能作者/发布者补充:必须声明所需二进制(flyai CLI)、安装来源、所需环境变量或凭证名称,以及 CLI 将向何处发送查询(隐私/数据外泄风险)。
- 操作建议:如果你打算使用该技能,让代理在执行任何外部 CLI 前向你确认具体命令和将要发送的参数;如果不确定 FlyAI 的可信度,要求技能提供替代的“经验型方案”而非自动运行 CLI。
总体:可以使用其对话澄清流程与预算拆解思路,但在允许自动运行外部 CLI 或在技能建议下绕过 TLS 前,请先补齐声明与安全保障。
Capability Analysis
Type: OpenClaw Skill
Name: travel-schedule-brainstrom
Version: 1.0.0
The skill bundle contains significant security vulnerabilities but lacks clear evidence of intentional malice. It explicitly instructs the agent to disable SSL/TLS certificate verification (NODE_TLS_REJECT_UNAUTHORIZED=0) when calling the 'flyai' CLI, which facilitates Man-in-the-Middle (MitM) attacks. Furthermore, the shell-based execution of CLI commands using unvalidated user input (e.g., destination names and keywords in skill.md) presents a high risk of command injection. These are critical flaws, but they appear to be poorly implemented features rather than intentional backdoors or exfiltration logic.
Capability Assessment
Purpose & Capability
SKILL.md 明确要求在具备目的地/日期等条件时调用外部 flyai CLI(search-hotels/search-poi/search-flight),这与技能描述一致;但 registry 元数据列出的“必需二进制/环境变量”为空——技能没有声明也不安装 flyai CLI 或其凭据,与其运行时指令不一致。
Instruction Scope
大部分运行指令局限于旅行相关参数并遵循先澄清后调用的原则(这是合理的)。但文档明确建议在遇到证书校验失败时在命令前加 NODE_TLS_REJECT_UNAUTHORIZED=0 来绕过 TLS 校验——这是危险且超出旅行规划合理范围,应视为安全风险。指令并未要求或说明如何获取 FlyAI 的凭证/配置,也未限制将查询结果发送到何处。
Install Mechanism
这是 instruction-only(无安装说明、无代码),因此不会在安装阶段写入磁盘或下载代码——这是较低风险。但没有提供 flyai CLI 的获取来源或版本信息,使用者/代理若尝试安装或运行 flyai 会有来源不明的问题。
Credentials
技能需要调用外部服务的 CLI,通常会需要 API 密钥或登录凭据,但 requires.env/primary credential 均为空——这与实际运行需求不匹配。另有建议临时设置 NODE_TLS_REJECT_UNAUTHORIZED=0(非凭据,但会改变 TLS 行为),这是不应被普通技能推荐的危险做法。
Persistence & Privilege
技能没有请求 always:true,也不声明写入其他技能或系统范围的配置;为 instruction-only,默认的自主调用权限存在但与其他风险因素(未声明凭据、TLS 绕过)结合时需谨慎。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install travel-schedule-brainstrom - After installation, invoke the skill by name or use
/travel-schedule-brainstrom - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.0
- 首发版本,支持模糊旅游需求的澄清与初步方案生成,全程中文对话。
- 系统性引导:一次只问一个关键问题,优先出选项,自动采信用户已说明的要素。
- 以出行天数和预算为核心收敛,未定目的地时先定时长再定预算,再推荐方向。
- 支持通过 FlyAI CLI 辅助查询酒店、机票与景点(需收集足够硬条件后再执行)。
- 明确禁用场景描述:禁止缺要素时提前调用 CLI,不抛多问等。
- 附带操作指引与策略说明,便于稳健处理不同用户输入。
Metadata
Frequently Asked Questions
What is travel-schedule-brainstrom?
在旅游需求模糊时,用对话一步一步澄清并给出可行方案;预算充足时用 FlyAI CLI(search-hotels / search-poi / search-flight)辅助酒店、景点与机票扫描。全程中文。用户已说清的目的地/时间/预算等直接采用;未说清时优先用天数与预算收敛。触发:不知道去哪、帮我规划、查酒店... It is an AI Agent Skill for Claude Code / OpenClaw, with 92 downloads so far.
How do I install travel-schedule-brainstrom?
Run "/install travel-schedule-brainstrom" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is travel-schedule-brainstrom free?
Yes, travel-schedule-brainstrom is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does travel-schedule-brainstrom support?
travel-schedule-brainstrom is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created travel-schedule-brainstrom?
It is built and maintained by David-Cai-GPT (@david-cai-gpt); the current version is v1.0.0.
More Skills