by 安全扫描
OpenClaw
安全
high confidence脚本和指令与声明的目的(下载 Bilibili AI 字幕)一致,仅依赖 yt-dlp 和常见 CLI 工具,无未解释的网络端点或凭证泄露。
评估建议
此技能对于其声明的目的看起来是连贯的。安装/运行前:1) 确保 yt-dlp 和 python3 安装并更新。2) 自己审查脚本(短小易读)。3) 知道它将尝试读取本地浏览器 cookie 存储(WSL Chromium 路径或 Windows Edge 用户数据)以访问仅会员视频 — 如果不想要,可以不带 cookie 运行脚本或删除 cookie 检测块。4) 调用时提供明确的输出目录以避免硬编码路径。5) 如果不确定脚本访问浏览器配置文件目录的权限,请在沙盒或测试环境中运行。...详细分析 ▾
✓ 用途与能力
名称/描述(下载 Bilibili AI 字幕)与提供的脚本和 SKILL.md 一致。脚本使用 yt-dlp 列出和获取 AI 字幕,解析元数据,并写入格式化的 TXT — 全部与声明的目的直接相关。
ℹ 指令范围
运行时指令和脚本保持在字幕下载范围内。脚本枚举本地浏览器 cookie 存储(WSL Chromium 路径和 Windows Edge 用户数据)为仅会员视频提供 yt-dlp cookie — 这与功能相关,但访问了本地浏览器配置文件路径。没有访问或传输其他文件、外部端点或无关系统数据。
✓ 安装机制
没有安装步骤(仅指令 + shell 脚本)。技能本身不执行远程下载或存档提取。SKILL.md 中唯一声明的依赖是 yt-dlp(脚本还使用 python3 和 sed/grep/find/wc/date 等 coreutils,正常)。
ℹ 凭证需求
技能不请求环境变量或凭证。然而,它尝试读取本地浏览器 cookie 存储并枚举 /mnt/c/Users 来定位 Windows Edge 配置文件以提取 cookie — 这种行为对于访问仅会员视频是合理的,但由于使用了已验证的浏览器 cookie,因此是敏感的。另外,如果不提供,默认输出目录是一个硬编码路径(/home/administrator/.openclaw/workspace/...),这可能会令人惊讶;建议提供明确的输出目录。
✓ 持久化与权限
技能不请求永久存在(always: false)并且不修改其他技能或全局代理配置。仅在调用时运行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.0.02026/3/16
主要更新:添加语言优先级选择(-l/--lang),改进文件名格式,三部分文档结构,增强 UTF-8 处理。从 bilibili-transcript 同步改进。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install bilibili-ai-subtitle
镜像加速npx clawhub@latest install bilibili-ai-subtitle --registry https://cn.clawhub-mirror.com
技能文档
快速下载 Bilibili 视频的 AI 自动生成字幕。... (中英文混合内容,仅翻译中文部分或根据需要进行调整,以下为示例)
什么是这个技能做的
这个技能下载 AI 自动生成的字幕 (自动生成的字幕)从 Bilibili 视频。这些字幕是由 Bilibili 的 AI 系统自动创建的,而不是由创作者手动上传的。从 v1.x 的主要改进:
- ✅ 可自定义语言优先级(例如,优先选择英文而非中文)
- ✅ 改进的文件名格式:
Title_Author_Date_Duration_BVid.txt - ✅ 三部分文档结构(信息、摘要、完整文本)
- ✅ 提升 UTF-8 文件名处理
- ✅ 更好的 WSL Chromium/Windows Edge Cookie 支持
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制