by 安全扫描
OpenClaw
可疑
high confidence该技能的注册元数据未声明 API 密钥要求,但指示从本地 mcporter 配置文件读取凭证,这一不一致和本地文件访问值得审查。
评估建议
["安装前,请审查 ~/.cursor/mcp.json 和 ~/.claude.json 中的配置和 API 密钥。","注册元数据未声明必要环境变量(DOUYIN_API_KEY 或 DASHSCOPE_API_KEY),请要求发布者添加以便做出明知的决策。","仅在信任 mcporter/douyin-mcp 二进制文件和服务器时运行此技能,因为这些外部工具将接收您的 API 密钥并可能传输数据。","若偏好更安全的测试,请在隔离环境(VM/ 丢弃账号)或使用假 API 密钥运行工作流以验证行为。","若不舒服代理读取主目录配置文件,请修改这些文件以删除凭证,并仅为调用期间提供最小 API 密钥。"]...详细分析 ▾
⚠ 用途与能力
技能的声明用途(通过 mcporter + douyin-mcp 获取抖音视频链接和提取文案)与指令匹配,但注册元数据未列出必要环境变量或主凭证,而 SKILL.md 明确依赖 DOUYIN_API_KEY 或 DASHSCOPE_API_KEY 和配置的 douyin-mcp 服务器。元数据中的省略是一致性问题。
⚠ 指令范围
运行时指令明确运行 Python 代码片段以打开和读取用户本地配置文件 (~/.cursor/mcp.json 和 ~/.claude.json) 以检测版本和环境密钥。这意味着代理将访问用户主目录中的文件(可能包含 API 密钥)。读取这些配置文件在注册中未被明确声明,并扩展了技能的数据访问范围,超出了简单的“获取和分析”描述。
✓ 安装机制
这是一个仅指令的技能,没有安装规格或捆绑代码。SKILL.md 建议用户如果缺失则通过 npm 安装 mcporter;技能本身不下载或写入代码。这降低了安装相关风险。
⚠ 凭证需求
技能需要 API 密钥(DOUYIN_API_KEY 或 DASHSCOPE_API_KEY)来调用 douyin-mcp,并指示检查可能包含这些密钥的本地配置文件 —— 尽管注册元数据未列出必要的环境变量或主凭证。要求代理读取可能包含机密的文件是不成比例的,除非用户明确声明和授权。
ℹ 持久化与权限
技能不请求 always:true 或修改其他技能;它是用户可调用且可能自主调用(正常默认)。然而,自主调用与技能读取本地配置文件和使用 API 密钥的能力相结合,增加了实际影响范围 —— 授予运行时权限时请考虑这一点。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/9
支持 v1.1.0(硅基流动)和 v1.2.0+(阿里云百炼),说明 mcporter 加载 ~/.cursor/mcp.json 和 ~/.claude.json,输出改为去口语化的精简原始文案。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install douyin-video-analyst
镜像加速npx clawhub@latest install douyin-video-analyst --registry https://cn.clawhub-mirror.com
技能文档
从抖音账号主页批量采集最新视频链接,通过 douyin-mcp 提取视频语音文案,去除口语化后输出精简原始文案,并进行综合总结。
前置依赖
- browser 工具:用于渲染抖音 SPA 页面并抓取视频列表(web_fetch 无效,抖音为纯 JS 渲染)
- mcporter CLI:
which mcporter确认可用 - douyin-mcp server:在
mcporter list中应显示douyin-mcp (5 tools)> mcporter 会自动加载~/.cursor/mcp.json和~/.claude.json两个配置文件中的 MCP server。
版本与 Key 对照
| 版本 | API 平台 | 环境变量 |
|---|---|---|
| ≤ 1.1.0 | 硅基流动 | DOUYIN_API_KEY |
| ≥ 1.2.0 | 阿里云百炼 | DASHSCOPE_API_KEY |
references/setup.md。工作流步骤
Step 1:检查配置
... (中间内容同原文,仅示例开始)数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制