by 安全扫描
OpenClaw
安全
medium confidence该技能的代码和指令与其声明的目的相符(使用 Gemini API 键运行长时间研究代理),文件中没有执行无关或隐藏操作的内容,但在安装前应审查几个来源和小范围细节。
评估建议
["确认提供的 GEMINI_API_KEY 适合在此使用,并信任技能/源——API 键启用使用和计费。","使用 --file-search-store 选项时谨慎:这授予代理访问命名文件存储的权限,可能暴露敏感文档;仅指定可信的存储。","该包没有安装规范,需要 Python 和 requests 库;在控制依赖项的环境中运行(理想情况下是一个隔离的 virtualenv 或容器)。","存在来源元数据不匹配:显示给您的注册表元数据所有者 ID 与包内 _meta.json 中的 ownerId 不同——这并不证明恶意,但降低了来源信心;如果作者真实性重要,请向发布者询问澄清。","如果不确定,请先在隔离环境中使用受限/测试 API 键运行脚本。"]...详细分析 ▾
✓ 用途与能力
Name/description, SKILL.md, and the included Python script all consistently implement a Gemini Deep Research client that uses a Gemini API key to create/poll interactions and save results. The requested env var (GEMINI_API_KEY) and the declared primary credential align with the described functionality.
ℹ 指令范围
Runtime instructions direct running scripts/deep_research.py which only use the GEMINI_API_KEY and optional file_search_store. The optional file-search feature will cause the agent to request access to a named file store (potentially exposing local or cloud file contents) — this is within the skill's advertised capabilities but is a privileged operation the user should explicitly permit. The script writes timestamped output files to disk (output-dir), which is expected behavior but will persist results locally.
✓ 安装机制
There is no install spec (instruction-only plus a bundled script). No remote downloads or unusual installers are used. Note: the script depends on the Python requests package but no dependency list is declared; this is an operational (not security) mismatch—script will fail if requests is missing.
✓ 凭证需求
The skill only requires GEMINI_API_KEY (declared as primaryEnv) which is appropriate for calling the Generative Language endpoint with an API key. No other secrets or unrelated env vars are requested. The key will be sent as the x-goog-api-key header to the Google endpoint, which may permit billing/usage on your account—so protect it accordingly.
✓ 持久化与权限
always is false and model invocation is allowed (default). The skill does not request persistent system privileges, modify other skills, or require system-wide configuration changes. It writes its own output files only to the configured output directory.
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/25
["发布 gemini-deep-research 技能的初始版本。","启用使用 Gemini Deep Research Agent 的复杂、多源研究。","支持系统化网页搜索、多步骤查询拆分和全面报告。","提供流式进度更新和可自定义输出格式。","使用时需要从 Google AI Studio 获取 Gemini API 键。"]
● 无害
安装命令 点击复制
官方npx clawhub@latest install gemini-deep-research-1-0-0
镜像加速npx clawhub@latest install gemini-deep-research-1-0-0 --registry https://cn.clawhub-mirror.com
技能文档
使用 Gemini 的 Deep Research Agent 执行复杂、长时间运行的上下文收集和合成任务。
前提条件
GEMINI_API_KEY环境变量(从 Google AI Studio 获取)- 注意: 此功能不支持 Antigravity OAuth 令牌。需要直接的 Gemini API 键。
工作原理
Deep Research 是一个代理,执行以下任务:- 将复杂查询拆分为子问题
- 系统化搜索网页
- 合成发现为全面报告
- 提供流式进度更新
使用方法
基本研究
``bash scripts/deep_research.py --query "研究 Google TPU 的历史" ### 自定义输出格式
bash scripts/deep_research.py --query "研究电动车电池的竞争格局" \
--format "1. 执行摘要\n2. 关键玩家 (包括数据表)\n3. 供应链风险" ### 带文件搜索(可选)
bash scripts/deep_research.py --query "将我们的 2025 财年报告与当前公共网页新闻进行比较" \
--file-search-store "fileSearchStores/my-store-name" ### 流式进度
bash scripts/deep_research.py --query "你的研究主题" --stream `
输出
脚本将结果保存到时间戳文件:
deep-research-YYYY-MM-DD-HH-MM-SS.md - 最终报告(Markdown 格式)
deep-research-YYYY-MM-DD-HH-MM-SS.json - 全交互元数据
API 详情
- 端点:
https://generativelanguage.googleapis.com/v1beta/interactions
代理: deep-research-pro-preview-12-2025
认证: x-goog-api-key` 标头(不是 OAuth 承载令牌)
限制
- 需要 Gemini API 键(从 Google AI Studio 获取)
- 不支持 Antigravity OAuth 认证
- 长时间运行任务(根据复杂度,几分钟到几小时)
- 可能根据您的配额产生 API 成本
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制