book-tutor

book-tutor 是一款基于 Model Context Protocol (MCP) 的辅导老师预订技能，通过连接 Lokuli 平台提供完整的家教服务搜索与预约功能。该技能采用纯文档化实现，无需本地代码执行，通过标准化的 MCP 端点与远程服务通信，为用户提供从搜索到预订的一站式教育服务解决方案。

核心用法

该技能通过三个主要工具实现完整的服务闭环。首先，用户可通过 search 工具基于地理位置（邮编）和关键词查找附近的辅导老师，支持设置最大返回结果数量以控制选择范围。其次，check_availability 工具允许用户查询特定老师在指定日期的可预约时段，避免无效沟通。最后，create_booking 工具完成实际的预订操作，需要提供商 ID、服务 ID、具体时间段以及客户的姓名、邮箱和电话等联系信息。整个流程遵循标准的 MCP 调用规范，使用 JSON-RPC 2.0 协议通过 SSE 传输与 lokuli.com 服务端点通信。

显著优点

作为 MCP 生态的标准化技能，book-tutor 具有协议层面的兼容性和扩展性优势。其实时可用性检查功能有效避免了传统预订服务中"先咨询后无空档"的不确定性，提升了用户体验。技能设计遵循最小权限原则，仅请求完成功能所必需的外部网络权限，无本地系统访问需求。此外，纯文档化的实现方式意味着零本地依赖安装，降低了使用门槛和潜在的安全攻击面，同时 JSON 格式的配置示例使得集成和调试过程清晰透明。

潜在缺点与局限性

该技能存在几个值得注意的约束条件。首先，其功能完全依赖于 Lokuli 平台的第三方服务可用性，若外部服务中断或变更 API，技能将立即失效。其次，当前版本仅支持基于美国邮编的地理搜索，对非美国地区的适用性有限。作为 T3 来源（社区个人开发者）的技能，其长期维护更新和平台合规性缺乏机构级保障。此外，预订流程强制要求提供真实个人联系方式，对于注重隐私保护的用户可能存在顾虑，且技能本身不包含教师资质审核机制。

适合的目标群体

此技能主要面向以下用户群体：需要为子女寻找学科辅导的 K-12 学生家长；寻求特定技能（如音乐、语言）一对一教学的成人学习者；以及希望快速比较和预订本地家教服务的忙碌专业人士。特别适合已经熟悉 MCP 协议生态，希望将家教搜索集成到 AI 工作流中的技术早期采用者，以及需要灵活安排辅导时间的自由职业者。

使用风险

使用 book-tutor 时需考虑几类风险。性能方面，所有操作均依赖网络请求，受 lokuli.com 服务器响应速度和用户本地网络环境影响，可能出现延迟或超时。数据隐私方面，虽然 MCP 协议本身标准，但最终数据存储于第三方平台，建议用户确认 Lokuli 的隐私政策符合个人数据保护要求。依赖性风险方面，该技能与特定商业服务深度绑定，若 Lokuli 调整商业模式或停止服务，技能功能将完全丧失。此外，作为教育服务中介，技能本身不担保教学质量，用户需自行评估教师资质，且涉及支付环节时需确认外部平台的安全性。

核心用法

"book-tutor" 是一个基于 MCP（模型上下文协议）的声明式技能，旨在帮助用户通过 Lokuli 平台搜索、查看可用性并预约家教服务。它本身不包含任何可执行代码，仅定义了三个工具调用接口：search（按邮编搜索家教）、check_availability（查看特定服务的可用日期）和 create_booking（提交客户姓名、邮箱、电话等信息完成预约）。Agent 会通过 SSE 传输协议，将格式化的 JSON-RPC 请求发送至 https://lokuli.com/mcp/sse 端点，从而触发远程服务的执行。

显著优点

1. 极简的设计与零依赖：该技能仅由 SKILL.md 和 _meta.json 两个文件组成，总代码量不足 80 行。没有任何依赖项（如 package.json 或 requirements.txt），因此不存在供应链攻击风险，容易审计。
2. 纯声明式架构，安全性基础好：技能内部无任何可执行脚本或动态代码加载行为。其功能完全通过标准化的 MCP 工具调用来实现，Agent 本身不会在本地执行危险操作，所有逻辑均在远程 Lokuli 服务器上处理。
3. 工作流清晰直观：三个标准化接口（搜索 -> 查可用性 -> 创建预约）覆盖了家教预约的核心环节，操作路径明确，方便 Agent 自动化调度。

潜在缺点或局限性

1. 严重的隐私合规缺失：create_booking 工具要求提供客户姓名、邮箱和电话号码这3个关键个人身份信息（PII），但技能文档中完全没有提及隐私政策、数据使用目的、存储期限或用户同意机制，不符合 GDPR 和 CCPA 的基本透明度要求。
2. 外部服务信誉未经核实：技能完全依赖 lokuli.com 的 MCP 服务器。在当前安全评估中，该域名的运营主体、安全资质、TLS 加密版本及数据处理实践均无法得到独立验证，存在数据发送至不可信第三方的风险。
3. 来源可信度较低：该技能由个人开发者 edwardrodriguez703-design 维护，评级为 T3（个人开发者/社区项目），缺乏组织级的代码审查、质量保障和长期维护承诺。
4. 缺乏输入验证指导：文档中的工具参数（如邮箱格式、电话号码规范）未给出具体的验证规则，可能增加服务端处理无效数据的压力，或存在深层的注入风险隐患（尽管服务端应有防护，但客户端缺乏预防性规范）。

适合的目标群体

这个技能最适合那些追求高度自动化家教预约流程的个人用户，特别是在技术评估后已充分信任 Lokuli 平台合规性的用户。对于不介意提交PII并认可 Lokuli 服务的家长或学生，此技能可以作为一个便捷的快速搜索与占位工具。但对于注重隐私、或处于严监管行业（如医疗、金融等）的用户，除非 Lokuli 提供了明确的数据处理合规证明，否则不建议直接使用。

使用可能存在的常规风险

• 隐私泄露风险：最大的常规风险。在使用 create_booking 时，用户的姓名、邮箱和电话会通过网络明文（尽管是 HTTPS，但取决于 lokuli 的服务端配置）传输并存储在第三方服务器上，如果 Lokuli 存在数据泄露或被攻击，这些PII将直接暴露。
• 服务不可用或性能影响：该技能的可用性完全取决于 lokuli.com 的在线状态和响应速度。任何外网故障、Lokuli 服务器的性能波动或 API 接口变更都可能导致搜索或预约流程中断。
• 依赖项风险（虽然为零）：虽然当前显示零依赖是一个安全强项，但也意味着如果未来 Lokuli 调整了 API 结构或参数，此静态的 Skill 文件可能因无法快速适配而立即失效，维护完全依赖单一的个人开发者。
• 合规风险：在未经用户明确同意的情况下，通过 Agent 自动提交 PII 至无隐私政策的第三方，可能会使使用者面临违反数据保护法规（如 GDPR、CCPA）的风险，尤其是在处理儿童或青少年家教预约时，风险会进一步升高。