Site Cloner — 网站克隆器
v1.0.0将任何实时网站克隆为独立的、无依赖的HTML文件,提取并保存所有内容、样式、字体和图片。当被要求克隆网站时使用。
0· 73·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence技能描述的用途(克隆网站)与其指令基本一致,但存在多个不一致和风险细节(硬编码的本地路径、特定的VPS IP、隐式使用私有SSH密钥和GitHub推送,以及未声明的二进制文件/凭证),在安装或运行前需谨慎。
评估建议
该技能似乎实现了一个网站克隆器,但在使用前应考虑以下几个危险信号:
- 硬编码的本地路径和凭证:指令引用了C:\Users\MJ\.openclaw\workspace和C:\Users\MJ\.ssh\vps_key,甚至特定的VPS IP(187.124.92.226)和GitHub用户。这些是示例值,但如果未经仔细审查运行,可能会意外使用您自己的密钥/路径。
- 隐式凭证访问:该技能将调用ssh/scp和gh/git命令,并期望在特定路径存在SSH密钥。技能元数据未声明任何凭证或配置路径——这种不匹配令人担忧。如果运行它,请验证它不会读取您的~/.ssh或任何密钥文件,绝不要让它访问您重要的密钥。
- 未声明的必需二进制文件:元数据未列出必需的二进制文件,但指令需要git、gh(GitHub CLI)、ssh和scp以及PowerShell的Invoke-WebRequest。确保这些工具存在,并确认agent不会自动以提升的权限运行命令。
- 网络和数据泄露风险:该技能下载JS/CSS并挖掘字符串——这可能意外提取密钥或专有文本。它还提供推送到私有GitHub仓库和上传...详细分析 ▾
ℹ 用途与能力
技能的目标——获取HTML/JS/CSS并组装独立的HTML文件——与指令一致。然而,SKILL.md包含了不相关的硬编码本地路径(C:\Users\MJ\.openclaw\workspace、C:\Users\MJ\.ssh\vps_key)、特定的VPS IP(187.124.92.226)和示例GitHub用户(michelle447)。这些示例超出了'如何克隆网站'的范畴,暗示了特定的本地凭证/端点,这与通用目的不符。
⚠ 指令范围
指令告诉agent下载JS/CSS bundle并挖掘其中的字符串和图片路径(这是预期的),但还要求读取/写入特定的本地文件系统位置、使用本地SSH私钥、scp/ssh到硬编码的远程主机,以及推送到GitHub。SKILL.md从未指示agent在使用本地密钥或远程主机之前提示用户,也没有限制可以访问的本地文件。通过正则表达式挖掘JS bundle也可能意外捕获bundle中存在的敏感字符串(令牌、端点)。
✓ 安装机制
纯指令型技能,没有安装规范或代码文件——安装风险最低。技能本身不会下载/安装任何包。主要风险是运行时行为,而非安装。
⚠ 凭证需求
元数据未声明所需的环境变量或凭证,但运行时指令隐式需要并访问敏感的本地工件(特定路径的私有SSH密钥)和外部工具(git、gh、ssh、scp),而未声明它们。这种不匹配(未声明凭证但明确使用~/.ssh和推送到GitHub)是不一致的,增加了意外凭证泄露或误用的机会。该技能还引用了特定的远程IP和端口分配,这对于通用克隆器来说是不预期的。
ℹ 持久化与权限
always为false,技能未被强制包含。它默认可以自主运行,这是正常的。真正的权限问题是指令执行网络操作(scp/ssh、gh push)并写入磁盘;结合隐式使用本地SSH密钥,如果agent在未经用户明确同意的情况下调用该技能,会扩大影响范围。该技能不请求修改其他技能的配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/5
将任何网站(包括React/Vue SPA)克隆为独立的HTML文件。包含SPA bundle提取、图片下载、VPS nginx部署和GitHub推送。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install site-cloner
镜像加速npx clawhub@latest install site-cloner --registry https://cn.clawhub-mirror.com
技能文档
name: Site Cloner description: Clone any live website into a self-contained, dependency-free HTML file with all content, styles, fonts, and images extracted and preserved. Use when asked to clone, mirror, or download a website. version: 1.0.0 author: OpenClaw tags: - web - clone - mirror - download - html - spa required_binaries: - git - gh - ssh - scp - powershell
Clone any website (including React/Vue SPAs) to a standalone HTML file. Includes SPA bundle extraction, image download, VPS nginx deploy, and GitHub push.
Usage
When asked to clone or mirror a website:
- Analyze the target website
- Download the website
- Process and assemble
- Optional: Deploy
Examples
Clone a basic website
# Download website using wget or curl
wget --mirror --convert-links --adjust-extension --page-requisites --no-parent https://example.com
Clone a SPA (React/Vue)
# For SPAs, you may need to:
# 1. Fetch the main HTML
Invoke-WebRequest -Uri "https://app.example.com" -OutFile index.html# 2. Analyze JS bundles and extract embedded resources
# 3. Download all referenced assets
# 4. Rewrite URLs in HTML and JS to point to local files
Deploy to VPS
# Upload to VPS
scp -i C:\Users\MJ\.ssh\vps_key -r ./cloned-site user@187.124.92.226:/var/www/html/# SSH into VPS to configure nginx
ssh -i C:\Users\MJ\.ssh\vps_key user@187.124.92.226
Push to GitHub
# Initialize repo and push to GitHub
git init
git add .
git commit -m "Clone of example.com"
gh repo create michelle447/example-clone --public --source=.
git push -u origin main
Notes
- Some websites may have anti-scraping measures
- Dynamic content loaded via JavaScript may not be fully captured
- Always respect robots.txt and terms of service
- For complex SPAs, manual intervention may be needed
- This tool is for legitimate mirroring and archival purposes only
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制