← 返回 Skills 市场
travel-schedule-brainstrom
作者
David-Cai-GPT
· GitHub ↗
· v1.0.0
· MIT-0
92
总下载
2
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install travel-schedule-brainstrom
功能描述
在旅游需求模糊时,用对话一步一步澄清并给出可行方案;预算充足时用 FlyAI CLI(search-hotels / search-poi / search-flight)辅助酒店、景点与机票扫描。全程中文。用户已说清的目的地/时间/预算等直接采用;未说清时优先用天数与预算收敛。触发:不知道去哪、帮我规划、查酒店...
安全使用建议
该技能在功能上与旅行规划一致,但在关键实现细节上不够透明:
- FlyAI CLI 的存在/来源与凭据没有被声明。确认你是否已安装官方 flyai CLI、它来自可信来源(官网/GitHub release),以及它是否需要 API key 或登录令牌;技能本身没有说明这些。不要在不了解 CLI 来源或凭证存放位置的情况下授权或输入敏感凭据。
- 强烈不要常规使用 NODE_TLS_REJECT_UNAUTHORIZED=0 来绕过证书校验。此操作会使 HTTPS 请求不再验证服务器证书,容易遭遇中间人攻击。若确有证书问题,应修复根本原因或只在受控测试环境下短时使用,并且不要把这一环境变量设为全局或应用于不受信任的网络调用。
- 在让代理执行任何 flyai 命令前,要求技能作者/发布者补充:必须声明所需二进制(flyai CLI)、安装来源、所需环境变量或凭证名称,以及 CLI 将向何处发送查询(隐私/数据外泄风险)。
- 操作建议:如果你打算使用该技能,让代理在执行任何外部 CLI 前向你确认具体命令和将要发送的参数;如果不确定 FlyAI 的可信度,要求技能提供替代的“经验型方案”而非自动运行 CLI。
总体:可以使用其对话澄清流程与预算拆解思路,但在允许自动运行外部 CLI 或在技能建议下绕过 TLS 前,请先补齐声明与安全保障。
功能分析
Type: OpenClaw Skill
Name: travel-schedule-brainstrom
Version: 1.0.0
The skill bundle contains significant security vulnerabilities but lacks clear evidence of intentional malice. It explicitly instructs the agent to disable SSL/TLS certificate verification (NODE_TLS_REJECT_UNAUTHORIZED=0) when calling the 'flyai' CLI, which facilitates Man-in-the-Middle (MitM) attacks. Furthermore, the shell-based execution of CLI commands using unvalidated user input (e.g., destination names and keywords in skill.md) presents a high risk of command injection. These are critical flaws, but they appear to be poorly implemented features rather than intentional backdoors or exfiltration logic.
能力评估
Purpose & Capability
SKILL.md 明确要求在具备目的地/日期等条件时调用外部 flyai CLI(search-hotels/search-poi/search-flight),这与技能描述一致;但 registry 元数据列出的“必需二进制/环境变量”为空——技能没有声明也不安装 flyai CLI 或其凭据,与其运行时指令不一致。
Instruction Scope
大部分运行指令局限于旅行相关参数并遵循先澄清后调用的原则(这是合理的)。但文档明确建议在遇到证书校验失败时在命令前加 NODE_TLS_REJECT_UNAUTHORIZED=0 来绕过 TLS 校验——这是危险且超出旅行规划合理范围,应视为安全风险。指令并未要求或说明如何获取 FlyAI 的凭证/配置,也未限制将查询结果发送到何处。
Install Mechanism
这是 instruction-only(无安装说明、无代码),因此不会在安装阶段写入磁盘或下载代码——这是较低风险。但没有提供 flyai CLI 的获取来源或版本信息,使用者/代理若尝试安装或运行 flyai 会有来源不明的问题。
Credentials
技能需要调用外部服务的 CLI,通常会需要 API 密钥或登录凭据,但 requires.env/primary credential 均为空——这与实际运行需求不匹配。另有建议临时设置 NODE_TLS_REJECT_UNAUTHORIZED=0(非凭据,但会改变 TLS 行为),这是不应被普通技能推荐的危险做法。
Persistence & Privilege
技能没有请求 always:true,也不声明写入其他技能或系统范围的配置;为 instruction-only,默认的自主调用权限存在但与其他风险因素(未声明凭据、TLS 绕过)结合时需谨慎。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install travel-schedule-brainstrom - 安装完成后,直接呼叫该 Skill 的名称或使用
/travel-schedule-brainstrom触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
- 首发版本,支持模糊旅游需求的澄清与初步方案生成,全程中文对话。
- 系统性引导:一次只问一个关键问题,优先出选项,自动采信用户已说明的要素。
- 以出行天数和预算为核心收敛,未定目的地时先定时长再定预算,再推荐方向。
- 支持通过 FlyAI CLI 辅助查询酒店、机票与景点(需收集足够硬条件后再执行)。
- 明确禁用场景描述:禁止缺要素时提前调用 CLI,不抛多问等。
- 附带操作指引与策略说明,便于稳健处理不同用户输入。
元数据
常见问题
travel-schedule-brainstrom 是什么?
在旅游需求模糊时,用对话一步一步澄清并给出可行方案;预算充足时用 FlyAI CLI(search-hotels / search-poi / search-flight)辅助酒店、景点与机票扫描。全程中文。用户已说清的目的地/时间/预算等直接采用;未说清时优先用天数与预算收敛。触发:不知道去哪、帮我规划、查酒店... 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 92 次。
如何安装 travel-schedule-brainstrom?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install travel-schedule-brainstrom」即可一键安装,无需额外配置。
travel-schedule-brainstrom 是免费的吗?
是的,travel-schedule-brainstrom 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
travel-schedule-brainstrom 支持哪些平台?
travel-schedule-brainstrom 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 travel-schedule-brainstrom?
由 David-Cai-GPT(@david-cai-gpt)开发并维护,当前版本 v1.0.0。
推荐 Skills