by 安全扫描
OpenClaw
安全
high confidence技能的代码、运行时指令和资源访问与其宣称的跨平台热点聚合目的一致;它执行本地抓取和聚类,没有无法解释的网络端点或秘密访问。
评估建议
该技能与其描述一致:它抓取多个公开的热榜页面,在本地聚类标题,并格式化简短的 markdown 摘要。安装前请考虑:(1) 它执行 Node.js 代码 — 如果不信任作者,请在沙箱中查看或运行脚本;(2) 抓取可能触发站点速率限制或违反服务条款 — 确保您遵守;(3) SKILL.md 期望主机通过消息工具将 markdown 发送到飞书 — 验证哪个账户/频道将接收消息;(4) 脚本过滤掉一些政治内容,并执行简单的 HTML/JSON 解析,如果网站更改可能会中断。如果这些要点可以接受,该技能看起来是内部一致的。...详细分析 ▾
✓ 用途与能力
名称/描述与实现匹配:index.js 从微博/抖音/头条/百度/知乎/腾讯获取榜单,写入 hot-data.json;format.js 聚合并格式化结果。未请求无关服务、二进制文件或密钥。
✓ 指令范围
SKILL.md 指示运行两个脚本并将格式化的 stdout 发送到消息工具(飞书)。脚本只读写声明的 hot-data.json 并执行抓取和本地聚类;它们不指示读取其他系统文件或环境变量。
✓ 安装机制
无安装规范;两个脚本只使用 Node.js 内置模块(https、fs、zlib、path、url)。没有从第三方 URL 下载或提取存档。风险仅限于使用 node 执行提供的 JS。
ℹ 凭证需求
技能不请求环境变量或凭证。一个小的不匹配:SKILL.md 期望一个 'message' 工具将输出发送到飞书(action=send, channel=feishu),但技能未声明飞书凭证 — 这可能是故意的,因为消息传递由主机平台提供,但您应该确认平台的消息工具将按预期运行,并且您信任目标频道。
✓ 持久化与权限
always 为 false 且技能可由用户调用;它不请求持久的代理级权限或修改其他技能。默认允许自主调用,但不与其他危险权限组合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/3
初始版本
● 无害
安装命令 点击复制
官方npx clawhub@latest install realtime-hot
镜像加速npx clawhub@latest install realtime-hot --registry https://cn.clawhub-mirror.com
技能文档
执行步骤
- 抓取数据:
node ./scripts/index.js
./scripts/hot-data.json(微博/抖音/头条/百度/知乎/腾讯六平台各前50条)- 读取并聚类:
node ./scripts/format.js
- 发送:用 message 工具发送 format.js 的 stdout 输出
强制规则
- 模型只负责运行脚本,不得自行生成或修改格式
- 只用 exec 和 read,禁止 browser、agent-browser、web_fetch
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制