安全扫描
OpenClaw
可疑
medium confidence该技能声称拥有强大的Cloudflare/Turnstile突破能力,但未提供代码、安装步骤、依赖项或来源信息,这一宣称与提供内容的不匹配令人怀疑。
评估建议
该包本质上是一个仅有一页的营销页面,声称拥有先进的Cloudflare/Turnstile突破能力,但没有提供源代码、安装步骤、依赖项列表或主页。启用前,请要求发布者提供:(1)源代码或可信赖的发布URL,(2)明确的运行时依赖项列表(浏览器、验证码解析器、库)和将要联系的网络端点,(3)使用的法律/伦理指导(突破保护可能违反服务条款或法律)。不要提供任何凭据给该技能。如果要测试,请在隔离的沙盒或临时环境中运行,并检查网络活动和文件系统更改。如果作者无法提供可验证的代码和来源,请将该技能视为不可信任的,并避免在生产环境中启用它。...详细分析 ▾
⚠ 用途与能力
技能名称/描述声称拥有Cloudflare Turnstile和中间页面的原生突破能力以及高性能爬取,但技能没有声明二进制文件、包、凭据、配置路径或源代码/主页。可靠的反_bot突破通常需要无头浏览器工具(如Puppeteer/Playwright)、第三方验证码解析服务或平台特定二进制文件;但没有任何被请求或记录的内容。因此,声称的能力与仅包含指令的微小清单不成比例。
⚠ 指令范围
SKILL.md仅包含高级别的营销描述和一个示例CLI调用(npx openclaw skill run ...)。它没有描述运行时代理应该做什么(没有命令、网络端点或要调用的库)。指令模糊,授予广泛、未定义的自由:一个真正的带有突破的爬虫需要详细的运行时步骤。这种模糊性增加了风险,因为技能可能后来会被实现为任意行为而不匹配声明的元数据。
✓ 安装机制
没有安装规格和代码文件,因此技能包本身不会将任何内容写入磁盘或自动安装。这样减少了直接的供应链风险。然而,安装步骤的缺失也意味着技能目前是一个占位符/营销文档,而不是一个功能实现。
ℹ 凭证需求
技能没有声明任何所需的环境变量、凭据或配置路径。在不请求机密方面是合理的,但与声称的功能不一致(突破反_bot系统通常需要第三方服务或二进制文件)。没有任何声明的凭据或端点是完整性/来源的红旗,尽管在当前形式下它不是直接的数据泄露风险。
✓ 持久化与权限
技能没有标记为'always: true',使用默认调用设置。它可以由用户调用,代理也可能自主调用(平台默认),这是正常的。没有证据表明该技能请求超出标准技能调用之外的持久或提升的平台权限。
安装前注意事项
- 请提供源代码或可信赖的发布URL
- 请提供明确的运行时依赖项列表(浏览器、验证码解析器、库)和将要联系的网络端点
- 请提供使用的法律/伦理指导(突破保护可能违反服务条款或法律)。不要提供任何凭据给该技能。如果要测试,请在隔离的沙盒或临时环境中运行,并检查网络活动和文件系统更改。如果作者无法提供可验证的代码和来源,请将该技能视为不可信任的,并避免在生产环境中启用它。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/3
● 可疑
安装命令 点击复制
官方npx clawhub@latest install agent-stealth-scraper
镜像加速npx clawhub@latest install agent-stealth-scraper --registry https://cn.clawhub-mirror.com
技能文档
使用自适应元素追踪突破现代反_bot保护。基于Scrapling框架,解析速度比传统BS4快1000倍。
功能 - 反_bot大师: 原生支持突破Cloudflare和其他挑战。 - 自适应选择: 通过相似性算法找到元素,使脚本对UI更改具有弹性。 - AIOHTTP驱动: 完全异步支持高规模数据采集。 ## 使用 px openclaw skill run agent-stealth-scraper --url "https://目标网站.com"
## 架构师笔记 数据主权建立在数据可访问性之上。px openclaw skill run agent-stealth-scraper --url "https://目标网站.com"数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制