by 安全扫描
OpenClaw
可疑
medium confidence该技能声明的能力(多个外部集成和消息访问)与其声明的要求(无凭据或安装步骤)不匹配,因此不清楚如何进行身份验证或敏感令牌将如何存储/使用。
评估建议
安装前,请向发布者询问身份验证如何处理以及将请求哪些确切的令牌/权限。不要在理解存储和访问控制之前提供高权限管理员密钥。由于技能将与广告账户、商店、消息平台交互,可能会爬取竞品网站,请验证法律/服务条款的影响,并先限制访问测试账户。确认谁操作了技能(未列出主页/源代码),并偏好声明所需环境变量并展示如何存储机密的供应商。如果继续,请授予最小权限凭据,要求对破坏性操作进行明确确认,启用审核/日志记录,并监视流量以防止意外数据泄漏。...详细分析 ▾
⚠ 用途与能力
该技能声称具有广泛的集成(Shopify、Google Ads、Meta、WhatsApp、Google Analytics、竞品爬取等),但注册元数据中未列出任何所需的环境变量、凭据或配置路径。对于这些集成,通常您会预期 API 密钥、OAuth 令牌或账户 ID —— 它们的缺失是自相矛盾的。
⚠ 指令范围
SKILL.md 和支持文档指示代理执行涉及外部系统的操作(爬取竞品网站、读取/发送 WhatsApp 消息、管理广告活动、更新商店数据)。运行时指令表示集成令牌应安全存储并在缺失时请求,但它们没有指定令牌如何提供或受限,从而使执行行为和数据流不明确。
✓ 安装机制
这是一个仅指令的技能,无安装规格和代码文件,因此安装程序不会将任何内容写入磁盘。这降低了立即安装风险。
⚠ 凭证需求
尽管明显需要多个服务凭据,但未声明任何环境变量或主要凭据。一个合法的电商自动化工具将需要至少商店平台和广告/消息服务的 API 令牌;未声明所需机密的缺失是不成比例的和未解释的。
✓ 持久化与权限
该技能不是始终在线的,并且在元数据中未请求提升的平台范围内的权限。未描述其他技能/配置的显式持久性或修改。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.32026/3/16
添加了元数据的前置内容(名称、版本、描述)以改进元数据支持。更新了简要描述以提高清晰度。未对功能、职责或支持的平台进行任何更改。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install ecom-manager-d2c
镜像加速npx clawhub@latest install ecom-manager-d2c --registry https://cn.clawhub-mirror.com
技能文档
概述
该技能旨在通过 AI 技术管理电商平台的运营,包括广告、消息、商店数据和竞品分析的自动化。使用指南
- 安装: 无需安装,直接通过指令使用。
- 配置: 请联系发布者了解身份验证和令牌存储细节。
- 使用: 通过指定指令进行电商运营管理,例如
manage_ad_campaigns、send_whatsapp_messages等。
注意
- 请确保理解并同意相关法律和服务条款。
- 仅使用测试账户进行初步测试。
# 元数据(不翻译) name: Ecom Manager D2c version: 1.0 ...
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制