by 安全扫描
OpenClaw
可疑
medium confidenceSKILL.md 描述了一款基于 Python 的 Gemini 研究工具,需要 GEMINI_API_KEY 和脚本,但发布的技能包中没有脚本、没有 requirements 文件,注册元数据也没有声明所需的环境变量 — 各部分不符。
评估建议
["不要直接安装或运行此技能。使用前:","(1) 确认仓库/包中包含参考脚本(scripts/research.py)和 requirements.txt — 发布的捆绑包中没有。","(2) 检查 GitHub 源代码中的网络端点、遥测或意外数据外泄(查找任意 HTTP 调用、外部上传端点或读取无关文件的代码)。","(3) 验证为什么注册元数据省略了 GEMINI_API_KEY,以及技能作者是否期望您克隆外部代码;如果是,请彻底审查该代码。","(4) 保护 GEMINI_API_KEY 的秘密 — 不要将其粘贴到不受信任的 UI 或公共存储库中;更好地将其注入到受控的运行时环境中。","(5) 如果需要此功能,请要求维护者发布完整包(包括脚本和 requirements)并在 skill.json 中声明所需的环境变量,或者在手动检查后在隔离的沙盒中运行代码。"]...详细分析 ▾
⚠ 用途与能力
技能名称/描述表明它运行基于 Google Gemini 的自动研究,SKILL.md 需要 Python、httpx 和 GEMINI_API_KEY。但发布的包仅包含 SKILL.md 和 skill.json(无脚本、无 requirements.txt、无代码)。注册元数据也未列出所需的环境变量或凭据。对于声称的目的,需要 Gemini API 密钥和本地 Python 脚本是合理的,但这些要求没有在包元数据中反映,脚本也未包含 — 这个不匹配是一个红色警示。
ℹ 指令范围
指令指导代理/用户运行 python3 scripts/research.py,带有多个标志,并设置 GEMINI_API_KEY(或 .env 文件)。指令本身不要求无关的系统文件或其他凭据,但它们假设存在本地脚本和一个不在捆绑包中的 requirements 文件。这种缺失意味着指令不完整,或者技能期望用户/代理获取外部代码(未描述)。
ℹ 安装机制
注册中没有安装规格(仅指令)。SKILL.md 告诉用户运行 pip install -r requirements.txt,但没有包含 requirements.txt。安装规格的缺失降低了立即的风险,但指令暗示从未知的 requirements 文件或外部仓库安装包 — 应在安装前澄清这一点。
ℹ 凭证需求
SKILL.md 请求 GEMINI_API_KEY 环境变量(对于集成 Gemini 的技能是合理的)。然而,技能元数据没有声明主要凭据或所需的环境变量,造成了不一致。GEMINI_API_KEY 是敏感的 — 包应该明确声明它并说明其用途;当前的省略令人担忧。
✓ 持久化与权限
技能不请求持久存在(always: false)并且不声明配置路径或高级权限。它不修改提供的材料中的其他技能或系统范围的设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/6
Gemini 深度研究技能的初始发布。- 启用使用 Google Gemini 深度研究代理的自动多步研究。- 支持市场分析、竞争格局分析、文献综述、技术研究和尽职调查的研究。- 提供多种输出格式:Markdown、JSON 和原始 API 数据。- 支持实时进度流和之前研究的恢复。- 列出和跟踪研究作业,包括状态和交互 ID。- 设置要求 Python 3.8+、`httpx` 和 Gemini API 密钥。
● 无害
安装命令 点击复制
官方npx clawhub@latest install deep-research-gemini
镜像加速npx clawhub@latest install deep-research-gemini --registry https://cn.clawhub-mirror.com
技能文档
运行能够规划、搜索、阅读并将信息合成为综合报告的自动研究任务。
何时使用此技能
- 进行市场分析
- 进行竞争格局分析
- 创建文献综述
- 进行技术研究
- 进行尽职调查
- 需要详细、注释的研究报告
要求
- Python 3.8+
- httpx:
pip install -r requirements.txt - GEMINI_API_KEY 环境变量
设置
- 从 Google AI Studio 获取 Gemini API 密钥
- 设置环境变量:
export GEMINI_API_KEY=your-api-key-here
.env 文件。使用
启动研究任务
python3 scripts/research.py --query "研究 Kubernetes 的历史"
结构化输出格式
python3 scripts/research.py --query "比较 Python Web 框架" \
--format "1. 执行摘要\n2. 比较表\n3. 推荐"
实时流式进度
python3 scripts/research.py --query "分析 EV 电池市场" --stream
不等待启动
python3 scripts/research.py --query "研究主题" --no-wait
检查研究状态
python3 scripts/research.py --status
等待完成
python3 scripts/research.py --wait
继续之前的研究
python3 scripts/research.py --query "详细说明点 2" --continue
列出最近研究
python3 scripts/research.py --list
输出格式
- 默认: 人性化 Markdown 报告
- JSON (
--json): 适用于程序的结构化数据 - 原始 (
--raw): 未处理的 API 响应
成本与时间
| 指标 | 值 |
|---|---|
| 时间 | 每任务 2-10 分钟 |
| 成本 | 每任务 $2-5(根据复杂度变化) |
| 令牌使用 | ~250k-900k 输入,~60k-80k 输出 |
最佳用例
- 市场分析和竞争格局分析
- 技术文献综述
- 尽职调查研究
- 历史研究和时间线
- 比较分析(框架、产品、技术)
工作流
- 用户请求研究 → 运行
--query "..." - 通知用户估计时间(2-10 分钟)
- 通过
--stream监控或通过--status轮询 - 返回格式化结果
- 使用
--continue进行后续问题
退出码
- 0: 成功
- 1: 错误(API 错误、配置问题、超时)
- 130: 用户取消(Ctrl+C)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制