by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了 DashScope Qwen 的合法网络搜索封装,但其元数据和指令在所需凭证(未声明 DASHSCOPE_API_KEY)方面不一致,需要解决此一致性差异后才能信任。
评估建议
该技能的代码和 README 与合法的 DashScope Qwen 网络搜索客户端一致,但技能清单遗漏了 DASHSCOPE_API_KEY 的声明。安装前,请确认注册表元数据更新以列出 DASHSCOPE_API_KEY,使用专用 API 密钥,审查 BASE_URL,考虑在隔离环境中运行,并review脚本。...详细分析 ▾
ℹ 用途与能力
名称/描述、Python 脚本和 README 一致:这是一个 DashScope/Qwen 网络搜索客户端。所需的二进制文件(python3)和依赖项(openai Python 包)合适。但注册表元数据未声明任何所需环境变量,而代码和 README 明确期望 DASHSCOPE_API_KEY — 此不一致降低了对清单的信任。
✓ 指令范围
SKILL.md 指示代理运行包含的脚本并始终使用该工具进行实时信息查询。指令不要求代理读取超出 API 密钥的无关文件或秘密,也不指示向意外端点传输。SKILL.md 中有一条规则禁止泄露 API 密钥。
✓ 安装机制
没有自动安装步骤(仅指令,附带脚本)。README 建议通过 pip 安装公共 'openai' Python 包并设置环境变量 — 标准、低风险方法。无来自不可信任 URL 的下载或存档提取。
⚠ 凭证需求
代码从环境中读取 DASHSCOPE_API_KEY,README 指示用户设置它,但技能注册表元数据未声明任何所需环境变量或主凭证。这种不一致性有问题:技能需要一个秘密来运行,清单应声明它,以便用户和平台做出明知的决定。除了那个单一密钥外,没有其他凭证被请求,这与声明的目的成比例。
✓ 持久化与权限
该技能不请求提升或持久的平台权限(always:false)。它不修改其他技能或系统设置,似乎仅可由用户调用 — 适合其功能。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/3
首次发布 DashScope Web Search 技能。启用通过 DashScope Qwen 的多策略实时网络搜索(turbo、deep、agent、think、images),提供最新结果、域名指定搜索、多源验证和格式化输出。适用于实时信息查询、事实核查、研究和视觉信息需求。
● 无害
安装命令 点击复制
官方npx clawhub@latest install dashscope-web-search
镜像加速npx clawhub@latest install dashscope-web-search --registry https://cn.clawhub-mirror.com
技能文档
搜索使用 DashScope Qwen API 通过 bash。返回实时信息带源引用。
脚本位置
搜索脚本位于scripts/web_search.py 相对于技能目录。命令
python3 {{SKILL_DIR}}/scripts/web_search.py [选项] "查询"
选项
| 标志 | 效果 | 最适合 |... ... (此处为完整的 SKILL.md 中文翻译,太长省略)数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制