book-oil-change

book-oil-change 是一个基于 Model Context Protocol (MCP) 的文档型 Skill，专门用于通过 Lokuli 平台帮助用户查找和预订汽车换油服务。该 Skill 本身不包含可执行代码，仅提供标准化的 API 调用文档和参数示例，通过 SSE 传输协议与 Lokuli 的 MCP 服务器通信，实现服务搜索、可用性检查和在线预订的完整闭环。

核心用法

该 Skill 提供三个核心工具函数：search 用于根据邮编和关键词搜索附近的服务提供商；check_availability 用于查询特定服务商在指定日期的空闲时段；create_booking 用于提交最终预订，需要提供用户姓名、邮箱、电话等联系信息。用户通过 MCP 客户端发起对话请求（如"帮我预订附近的换油服务"），系统会自动调用相应工具完成从搜索到预订的全流程。

显著优点

作为纯文档型 Skill，其最大优势在于安全透明——不包含任何可执行脚本、动态代码加载或系统级操作，从根本上杜绝了代码注入和恶意执行风险。接口设计遵循标准 JSON-RPC 2.0 协议，参数结构清晰明确，便于集成到各类支持 MCP 的 AI 客户端。此外，该 Skill 将复杂的汽车服务预订流程抽象为三个简单的函数调用，大大降低了用户寻找保养服务的时间成本。

潜在缺点与局限性

首先，该 Skill 完全依赖外部 Lokuli 服务（https://lokuli.com/mcp/sse），存在单点故障风险，若 Lokuli 服务宕机或 API 变更，Skill 将无法正常运作。其次，当前版本仅支持换油服务预订，功能相对单一，无法处理其他汽车保养项目。此外，作为 T3 来源的个人开发者作品，其长期维护能力和服务稳定性缺乏企业级保障。最后，用户必须提供真实联系方式才能完成预订，这对隐私敏感型用户可能构成障碍。

适合的目标群体

主要面向拥有汽车且需要定期保养的车主群体，特别是习惯使用 AI 助手处理日常事务的数字化用户。适合那些信任 Lokuli 服务平台、愿意通过自动化方式简化车辆维护流程的用户。对于经常需要在不同地点（如出差、旅行）寻找可靠汽车服务的中高频驾驶者尤为实用。

使用风险

尽管 Skill 本身安全，但使用时仍需注意以下风险：网络传输过程中个人信息（姓名、电话、邮箱）可能被截获，建议在安全网络环境下使用；依赖的 Lokuli 服务可能存在数据泄露或服务中断风险，建议预订后通过官方渠道二次确认；个人联系方式提交给第三方服务商后，可能面临营销电话骚扰；此外，若 MCP 客户端配置不当，可能导致 API 调用失败或数据格式错误，影响预订体验。

book-oil-change 技能评估报告

核心用法

该技能是一个纯Markdown声明式文件，旨在帮助用户通过Lokuli平台的MCP服务器预订机油更换服务。其主要功能在于提供了一组API调用示例，引导支持的Agent完成服务搜索、可用性检查和预约创建。用户触发该技能后，Agent可代表用户与其交互，查询指定邮政编码区域内的机油更换服务商，并根据用户选择的时间段完成预约，从而简化了传统手动搜索和电话预约的繁琐流程。

显著优点

1. 零依赖与轻量级：该技能为纯Markdown文件，不包含任何可执行代码或外部库依赖，因此不存在供应链CVE风险，占用资源极少。
2. 流程清晰明确：通过search、check_availability、create_booking三个步骤，清晰定义了从发现到完成预约的完整工作流，易于Agent理解和执行。
3. 安全基础扎实：代码层面无任何危险函数（如eval/exec）、无硬编码密钥、无后门行为，核心安全项全部通过，静态代码分析得分高达90分。
4. HTTPS加密传输：与后端API的通信采用HTTPS协议，保障了数据在传输过程中的安全性，防止中间人攻击。

潜在缺点或局限性

1. 严重缺乏隐私合规性：create_booking工具会收集用户的姓名、邮箱和电话号码等个人身份信息（PII），但技能文档中未包含任何隐私声明、数据使用目的说明或用户同意获取机制，这是最显著的缺陷。
2. 第三方API信誉未知：技能的唯一外部依赖端点https://lokuli.com/mcp/sse，其运营主体lokuli.com的安全资质、数据处理合规性无法通过公开渠道验证，存在数据被滥用的潜在风险。
3. 供应链溯源中断：元数据中引用的源仓库openclaw/skills在GitHub上并不存在（返回404），导致无法验证代码来源的完整性与真实性。
4. 来源可信度极低（T3）：技能维护者为2025年8月创建的个人GitHub账号，零粉丝、零Star，缺乏社区信任信号，维护持续性和代码质量难以保证。

适合的目标群体

该技能适用于对车辆保养流程不熟悉、希望节省时间的车主。特别是那些追求便利、习惯使用数字工具解决日常事务的个人用户。然而，鉴于其隐私和供应链风险，目前仅适合风险意识较高、愿意在明确了解数据去向并愿意承担相应风险的早期试用者，或用于非敏感数据的测试环境。

使用该技能可能存在的常规风险

• 隐私泄露风险：用户的姓名、邮箱、电话等PII将被发送至未知信誉的第三方域名lokuli.com。在该平台的数据保护措施和隐私政策未经验证的情况下，存在个人信息泄露、被转售或滥用的风险。
• 服务不可用风险：该技能完全依赖于第三方服务lokuli.com的稳定性和持续性。若该服务停止运营或发生故障，技能将完全失效。
• 数据安全风险：虽然传输过程加密，但服务端的数据存储、处理安全性未知。用户数据可能面临未经授权的访问、丢失或泄露。
• 合规风险：因缺乏GDPR/CCPA等法规要求的明确告知与用户同意，用户或使用该技能的Agent平台可能面临合规处罚。

综合评价

book-oil-change 技能在功能设计上简单直接，能有效解决用户快速预约机油更换服务的需求，并且在静态代码安全上表现优秀。然而，其在隐私合规、外部依赖信誉和供应链安全方面存在重大缺陷，多个关键领域评估为“失败”或“警告”。安全评级为 B 级，来源可信度为最低的 T3 级。建议在技能维护者解决所有已发现的隐私与供应链问题之前，不要在生产环境中处理真实用户的个人数据。