by 安全扫描
OpenClaw
安全
high confidence此技能是一个指令优先的 X (Twitter) API 客户端,仅需 X_BEARER_TOKEN 即可运行本地 Python 脚本调用 api.x.com,文件和指令与此目的一致。
评估建议
此技能如其所言:三个使用 Bearer Token 调用 X API 的 Python 脚本。安装或运行前,请确认:1) 感舒适将 X_BEARER_TOKEN 存储在环境变量中(任何拥有令牌的人都可以访问您的应用级 API)。2) 注意 SKILL.md 中的 OAuth 2.0 声明未在脚本中实现——如果需要用户身份验证流程,此包不提供。3) 查看脚本(很短)并考虑在隔离环境中运行;它们仅连接到 https://api.x.com/2 并可选写入您指定的文件。4) 注意某些端点(趋势)可能需要付费层;检查您的令牌权限和速率限制。如果需要技能支持 OAuth 流或避免在环境变量中存储长期令牌,请向作者询问澄清或更新版本。...详细分析 ▾
ℹ 用途与能力
代码与名称/描述匹配:脚本使用 X API v2 执行推文搜索、文章/推文检索和趋势获取。小不一致:SKILL.md / 描述声称支持 Bearer Token (应用仅限) 和 OAuth 2.0,但包含的脚本仅使用 Bearer Token (X_BEARER_TOKEN) 未实现 OAuth 流。此外,注册摘要上列出的“Required env vars: none” 与包声明的主要凭证 X_BEARER_TOKEN 以及 SKILL.md 指示用户设置它不符。
✓ 指令范围
SKILL.md 和脚本仅指示代理/用户运行包含的 Python 脚本、设置 X_BEARER_TOKEN、调用 https://api.x.com/2 端点,并可选将输出保存到文件。指令不要求代理读取任意主机文件、其他凭证或将数据泄漏到意外端点。
✓ 安装机制
无安装规格;此技能是指令优先的,并捆绑了小型 Python 脚本。没有远程下载、安装程序或提取的存档。所需的运行时仅为 python3 和 requests 库(在脚本中导入),这对于这些脚本是预期的。
✓ 凭证需求
仅使用一个凭证 (X_BEARER_TOKEN) 作为主要凭证。这与一个对 X API 进行身份验证调用客户端是成比例的。没有请求无关的秘密或配置路径。
✓ 持久化与权限
always: false 和 disable-model-invocation: false(标准)。此技能不请求永久的系统范围更改,也不修改其他技能的配置。它仅读取 X_BEARER_TOKEN 并写入用户指定的输出文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/13
修复:向 tweet.fields API 参数添加 'article' 字段,通过 X API v2 检索完整文章内容。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install x-twitter-api
镜像加速npx clawhub@latest install x-twitter-api --registry https://cn.clawhub-mirror.com
技能文档
X (Twitter) API 客户端 =========================
搜索推文、检索文章内容、获取趋势话题从 X (Twitter)。... (注意:代码块、命令行指令和 Markdown 格式保持不变,仅翻译了非代码部分)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制