by 安全扫描
OpenClaw
可疑
medium confidence该技能文档描述了一个需要 AI 模型密钥和可选远程服务密钥及本地 Chrome 配置文件的浏览器自动化 CLI,但包元数据遗漏了这些需求且实际代码未包含 — 这些不匹配和隐私影响令人担忧。
评估建议
暂勿安装或运行此包中的 npm 命令。主要问题:(1) 包元数据声称不需要环境变量或二进制文件,但文档和 setup.json 要求 ANTHROPIC_API_KEY、可选的 Browserbase API 密钥、Chrome 和 npm 依赖 — 这种不一致表明发布的包不完整或标注错误。(2) 该工具会保留 Chrome 配置文件并将下载保存到本地(./agent/downloads/),可能保留 cookies、活跃会话和下载文件 — 请考虑隐私影响。(3) 如果存在 Browserbase 密钥,远程模式会将浏览活动和页面内容发送到远程服务,且技能声称会自动切换而不提示。(4) 文档指示运行 npm install 和 npm link 安装全局 CLI,但包中没有源码/包文件;从未知来源运行这些命令可能安装任意代码。...详细分析 ▾
⚠ 用途与能力
描述的用途(浏览器自动化)与指令匹配(导航、操作、提取、截图)。但元数据声明不需要环境变量或二进制文件,而文档和 setup.json 明确要求 ANTHROPIC_API_KEY、可选 Browserbase API 密钥、Chrome 和 npm 依赖。这种遗漏是不一致的。
⚠ 指令范围
指令告诉智能体读取 .env、使用现有 Chrome 用户配置文件、保存下载到 ./agent/downloads/,并在存在 Browserbase 密钥时自动选择远程模式(无用户提示)。这些指令访问和持久化潜在敏感数据(cookies、会话、下载、API 密钥),并可能将流量发送到远程服务。
⚠ 安装机制
注册表中无正式安装规范(纯指令型),但运行时 README 明确指示运行 npm install 和 npm link 创建全局 CLI — 这些命令会修改主机环境并安装依赖。技能引用了源码(src/cli.ts)和 npm 依赖但包中没有代码文件或包清单,这是一个危险信号。
⚠ 凭证需求
技能元数据未列出必需环境变量,但 setup/文档要求 ANTHROPIC_API_KEY 和可选的 Browserbase 密钥。这种不匹配令人担忧:敏感凭证被涉及但未声明。此外,持久化 Chrome 配置文件可能保留会话 cookies/凭证。
⚠ 持久化与权限
技能未标记为 always:true,但文档指示持久化 .chrome-profile/ 和 ./agent/downloads/ 并建议保留会话 cookies。结合自动选择远程模式和 Browserbase 的隐身/代理功能,这增加了风险面。
安装前注意事项
- 包元数据声称不需要环境变量或二进制文件,但文档和 setup.json 要求 ANTHROPIC_API_KEY 等 — 这种不一致表明发布的包不完整或标注错误。
- 该工具会保留 Chrome 配置文件并将下载保存到本地,可能保留 cookies、活跃会话和下载文件 — 请考虑隐私影响。
- 如果存在 Browserbase 密钥,远程模式会将浏览活动和页面内容发送到远程服务,且技能会自动切换而不提示。
- 文档指示运行 npm install 和 npm link 安装全局 CLI,但包中没有源码文件;从未知来源运行这些命令可能安装任意代码。使用前请向发布者索要源码仓库和完整包文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/5
首次公开发布
● 可疑
安装命令 点击复制
官方clawhub install browser-automation
镜像加速clawhub install browser-automation --registry https://www.longxiaskill.com
技能文档
Automate browser interactions using Stagehand CLI with Claude.
第一个: Environment Selection (Local vs Remote)
The skill automatically selects between local and remote browser environments:
- 如果 Browserbase API keys exist (BROWSERBASE_API_KEY 和 BROWSERBASE_PROJECT_ID 在...中 .env file): Uses remote Browserbase environment
- 如果 否 Browserbase API keys: Falls back 到 local Chrome browser
- 否 用户 prompting: selection happens automatically based 在...上 可用 configuration
Setup (第一个 时间 仅)
Check setup.json in this directory. If setupComplete: false:
npm install # Install dependencies
npm link # Create global 'browser' command
Commands
All commands work identically in both modes:
browser navigate # Go to URL
browser act "" # Natural language action
browser extract "" ['{}'] # Extract data (optional schema)
browser observe "" # Discover elements
browser screenshot # Take screenshot
browser close # Close browser
Quick 示例
browser navigate https://example.com
browser act "click the Sign In button"
browser extract "get the page title"
browser close
Mode Comparison
| Feature | Local | Browserbase |
|---|---|---|
| Speed | Faster | Slightly slower |
| Setup | Chrome required | API key required |
| Stealth mode | No | Yes |
| Proxy/CAPTCHA | No | Yes |
| Best for | Development | Production/scraping |
Best Practices
- Always navigate 第一个 之前 interacting
- 视图 screenshots 之后 每个 command 到 验证
- specific 在...中 action descriptions
- 关闭 browser 当...时 已完成
Troubleshooting
- Chrome 不 found: Install Chrome 或 使用 Browserbase mode
- Action fails: 使用
browser observe到 discover 可用 elements - Browserbase fails: 验证 API 键 和 project ID 设置
For detailed examples, see EXAMPLES.md. For API reference, see REFERENCE.md.
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制