by 安全扫描
OpenClaw
可疑
high confidence该技能声称支持多平台发布和授权集成,但提供的代码仅模拟平台并未使用授权凭证——在提供任何秘密信息之前,请向开发者寻求澄清。
评估建议
此包似乎是一个本地/模拟的社交媒体管理器,而非真正的连接器。安装或添加任何账户秘密之前,请注意:1) 除非代码明确读取,否则不要在TOOLS.md或任何文件中粘贴真实密码、cookies或API密钥。2) 检查代码(平台适配器)是否有真实的HTTP调用或SDK使用——当前适配器返回模拟对象且不执行网络I/O。3) 如果需要真实发布/分析,请询问作者/维护者关于如何消费凭证;不要假设README准确。4) 在安全环境中运行包含的本地测试以确认行为。5) 如果必须提供凭证,优先创建有限/沙盒/测试账户并在之后撤销。主要问题是一致性和用户不必要地暴露秘密的可能性,而不是主动恶意行为。...详细分析 ▾
⚠ 用途与能力
名称/描述承诺多平台发布、自动发布和分析。代码包含平台适配器和CLI,但所有适配器返回模拟响应且没有网络/API调用或SDK使用。项目文档告诉用户添加平台凭证,但运行时不读取环境变量或任何凭证/配置文件。这是一个功能性不匹配:预期的外部集成未实现。
⚠ 指令范围
SKILL.md / README 指示用户将平台账户凭证添加到TOOLS.md,并显示用于发布/评论的CLI命令。然而,运行时指令和实际代码不访问这些凭证或执行真实网络I/O。指令可能导致用户无故存储敏感凭证;技能的操作指令暗示代码未实现的功能。
✓ 安装机制
没有安装脚本或远程下载;包是自包含的源文件。清单中没有外部URL、安装程序或提取步骤——安装风险低。
⚠ 凭证需求
清单声明没有必需的环境变量或凭证,但文档要求用户将用户名、密码、cookies和API密钥放入TOOLS.md。请求或指示用户提供不需要的秘密是不成比例的,并可能导致用户不必要地暴露凭证。
✓ 持久化与权限
技能不请求持久/始终包含并不修改其他技能或系统设置。它仅为用户可调用且没有特权标志。
安装前注意事项
- 除非代码明确读取,否则不要在TOOLS.md或任何文件中粘贴真实密码、cookies或API密钥。
- 检查代码(平台适配器)是否有真实的HTTP调用或SDK使用——当前适配器返回模拟对象且不执行网络I/O。
- 如果需要真实发布/分析,请询问作者/维护者关于如何消费凭证;不要假设README准确。
- 在安全环境中运行包含的本地测试以确认行为。
- 如果必须提供凭证,优先创建有限/沙盒/测试账户并在之后撤销。主要问题是一致性和用户不必要地暴露秘密的可能性,而不是主动恶意行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/15
v1.0.0 - 初次发布,包含内容日历生成、最佳发布时间、自动互动和分析
● 无害
安装命令 点击复制
官方npx clawhub@latest install ai-social-media-manager
镜像加速npx clawhub@latest install ai-social-media-manager --registry https://cn.clawhub-mirror.com
技能文档
功能
- 自动生成内容日历
- 推荐最佳发布时间
- 智能回复互动
- 分析并优化表现
- 支持多平台发布
使用方法
- 安装依赖
npm install
- 配置(注意:当前代码不使用真实凭证,仅模拟)
# 示例配置(仅示意,不用于实际发布)
platforms:
- twitter:
token: YOUR_TOKEN_HERE
- facebook:
app_id: YOUR_APP_ID_HERE
- 运行
node index.js
注意
- 请勿在TOOLS.md或任何文件中输入真实密码、cookies或API密钥,除非代码明确读取。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制