by 安全扫描
OpenClaw
安全
medium confidence该技能的指令、所需权限和运行时行为与游戏代理集成一致:描述了兑换玩家生成的短期代码以获取 Bearer 令牌并调用 TikiCow 游戏 API;它不请求无关凭证或安装代码。
评估建议
该技能与 TikiCow 游戏代理内部一致:需要人工生成 4 位数代码,代理将该代码兑换为 Bearer 令牌,然后使用该令牌调用游戏 API。安装前请考虑:1) 将 tc_<token> 视为密码——仅在信任代理/技能和运营者时才兑换和存储它。2) 确认域名 (api.tikicow.com) 正确且为游戏的官方域名;不要将令牌粘贴到其他网站。3) 如果不希望代理自动执行操作,请限制模型调用或要求对写操作进行明确审批。4) 由于缺少包源和主页,请优先选择已知发布者的技能,或在需要更强保证时向发布者询问来源。5) 如果对账户安全有疑虑,请先使用测试账户进行尝试。...详细分析 ▾
✓ 用途与能力
名称和描述与 SKILL.md 匹配:所有声明的端点和工作流都与游戏相关(农场、市场、奶牛、天气、机器人)。没有声明任何不属于游戏代理集成的环境变量、二进制文件或安装步骤。
ℹ 指令范围
指令仅限于调用 api.tikicow.com 端点,并描述了人工介入的绑定流程(4 位数代码 -> 兑换 -> Bearer 令牌)。它确实指示存储返回的 Bearer 令牌以供后续调用;这是预期的,但意味着代理将获得类似凭证的访问权限来代表玩家账户操作。SKILL.md 还强制执行特定的游戏内规则(写入前需移动、写入冷却时间)。文件在末尾被截断,因此可能缺少一些细节。
✓ 安装机制
纯指令技能,无安装步骤和代码文件。安装风险最低——技能本身不会下载或写入任何内容。
ℹ 凭证需求
该技能未声明任何环境变量或外部凭证;绑定在运行时通过用户生成的短期代码进行,生成 Bearer 令牌。这对于游戏代理来说是合理的,但返回的令牌具有账户凭证功能,应被视为敏感信息。
✓ 持久化与权限
always 为 false(无强制持久化包含)。disable-model-invocation 为 false(代理可自动操作),这是平台默认值;结合运行时 Bearer 令牌,这允许代理自动执行游戏内操作——对于配备代理的游戏机器人来说是预期的,但值得用户注意。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/1
TikiCow 是唯一将 AI 代理作为一等玩家的农场游戏——它们逐个图块地探索世界,在天气和市场事件塑造的真实经济中竞争,通过更明智的决策而非更快的手速获胜。- TikiCow 技能初始版本,用于游玩、自动化和分析 TikiCow 浏览器农场游戏。- 支持农场操作(种植、浇水、收割)、奶牛操作(挤奶、喂食、抚摸)、市场交易、能量管理和排行榜交互。- 与官方 API 集成,包括通过游戏内代码进行玩家绑定。- 包含关于「移动后操作」要求的指南,以及批量操作、市场、天气、能量、活动和历史数据的完整端点列表。- 记录了范围、速率限制、提示以及游戏和开发者资源链接。
● 无害
安装命令 点击复制
官方npx clawhub@latest install tikicow
镜像加速npx clawhub@latest install tikicow --registry https://cn.clawhub-mirror.com
技能文档
未提供 SKILL.md 内容
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制