by 安全扫描
OpenClaw
可疑
medium confidence技能描述(自动发布到社交网络)与实际要求或文档不匹配:未请求 API 凭证,未提供发布或后台执行的运行时指令,声明了错误的 'bash' 作为 'primary credential'。
评估建议
此包不一致且不完整。安装前,请向作者询问:(1)确切的运行步骤和代码位置(源/仓库),(2)如何实现 24x7 自动化(服务、守护进程、调度程序),(3)所需的环境变量或 OAuth 令牌以及如何存储和保护它们,(4)每个社交平台使用的 API 端点,(5)可审计的安装规范或源代码。直到您可以审查实际代码并确认秘密的使用和存储方式,请勿提供 API 密钥或凭证。'primary credential: bash' 条目不正确,是一个红色警告——直到解决这些差距之前,视该技能为不可信任。...详细分析 ▾
⚠ 用途与能力
技能声称自动发布到 Twitter/Instagram/LinkedIn 并运行 24x7,但未声明 API 凭证或配置路径,只需要 curl。通常,发布到这些平台需要 OAuth/API 密钥——这些都缺失。'primaryEnv' 设置为 'bash',这不是凭证,也与声明的目的不一致。
⚠ 指令范围
SKILL.md 包含营销文本、安装命令和示例定价,但没有具体的运行时指令或用于身份验证和发布的 API 端点,也没有关于如何实现声明的 24x7 自动化的指导。指令太模糊,无法执行声明的任务。
✓ 安装机制
这是仅指令的,无安装规范或代码——安装风险最低。唯一声明的必需二进制是 curl,对于 HTTP 发布来说是合理的,但在没有凭证处理的情况下,它本身是不够的。
⚠ 凭证需求
尽管需要平台令牌来发布,但未声明任何环境变量或凭证。声明的 primaryEnv 'bash' 不是秘密也不是 API 凭证,似乎被误用。这与技能的功能不成比例且不一致。
✓ 持久化与权限
always 为 false 且技能是用户可调用;它在元数据中没有请求提升或持久的平台权限。
安装前注意事项
- 安装前,请向作者询问确切的运行步骤和代码位置(源/仓库)
- 请询问如何实现 24x7 自动化(服务、守护进程、调度程序)
- 请询问所需的环境变量或 OAuth 令牌以及如何存储和保护它们
- 请询问每个社交平台使用的 API 端点
- 请要求提供可审计的安装规范或源代码。直到您可以审查实际代码并确认秘密的使用和存储方式,请勿提供 API 密钥或凭证。'primary credential: bash' 条目不正确,是一个红色警告——直到解决这些差距之前,视该技能为不可信任。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/23
auto-social-post 1.0.0 发布 - 首次发布,支持自动发布到 Twitter、Instagram 和 LinkedIn - 24/7 操作,实时监控和优化 - 主流社交平台的灵活 API 集成 - 易用的配置和自定义选项
● 可疑
安装命令 点击复制
官方npx clawhub@latest install auto-social-post
镜像加速npx clawhub@latest install auto-social-post --registry https://cn.clawhub-mirror.com
技能文档
介绍
自动发布到 Twitter、Instagram 和 LinkedIn 的社交媒体自动化工具...# ... (保留原始 Markdown 格式和未翻译的代码块、命令行指令等)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制