by 安全扫描
OpenClaw
安全
high confidence该技能的代码、运行指令和所需凭证(TAVILY_API_KEY)与Tavily网页搜索集成一致,不请求无关秘密或安装任意代码。
评估建议
该技能看起来合理:它需要Node和Tavily API密钥,只简单调用tavily.com端点。安装前,请验证提供的TAVILY_API_KEY是为此用途意图的,并来自可信的Tavily账户。注意包中的小元数据不匹配(所有者ID)——这可能是一个打包/元数据错误;如果您关心来源,请确认发布者。另外,注意openclaw-wrapper.js将使用固定标志(新闻,5个结果)调用搜索脚本;如果您想要其他选项,请直接使用scripts/search.mjs。如果您有顾虑,请在沙盒环境中运行脚本或检查网络流量以确认它们只联系api.tavily.com。...详细分析 ▾
✓ 用途与能力
名称/描述、所需二进制(node)、所需环境变量(TAVILY_API_KEY)以及代码的网络调用(https://api.tavily.com/search 和 /extract)都与网页搜索集成一致。小的来源不一致:注册元数据所有者ID与_meta.json所有者ID不同(可能的打包/元数据错误),但这不改变功能对齐。
✓ 指令范围
SKILL.md 指示运行包含的Node脚本;脚本仅读取声明的TAVILY_API_KEY和提供的CLI参数,并调用Tavily端点。它们不读取无关文件、系统凭证或向其他主机发送数据。注意:openclaw-wrapper.js 使用child_process.execSync 以固定标志(强制--topic news 和 -n 5)调用search.mjs,这与SKILL.md 中显示的灵活调用不同;这是一个行为不一致(不是秘密访问问题)。
✓ 安装机制
无安装规格;这是一个需要运行时node的指令和脚本包。没有下载或存档提取,因此安装风险很低。
✓ 凭证需求
仅TAVILY_API_KEY是所需的并声明为主要凭证。代码仅使用该密钥调用Tavily的API端点;不访问其他秘密或环境变量。
✓ 持久化与权限
技能不请求always:true,不修改其他技能,也不写入持久配置。它按需运行,没有提升的持久性或跨技能访问。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/4
Tavily Search技能的初始发布。- 提供使用Tavily API的AI优化网页搜索,具有干净、相关的结果。- 支持调整结果数量、深度研究模式和主题选择(一般或新闻)。- 包括从特定URL提取内容的工具。- 需要TAVILY_API_KEY进行身份验证。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install tavily-search-yourname
镜像加速npx clawhub@latest install tavily-search-yourname --registry https://cn.clawhub-mirror.com
技能文档
Tavily Search AI优化网页搜索使用Tavily API。为AI代理设计——返回干净、相关内容。
搜索
node {baseDir}/scripts/search.mjs "查询"
node {baseDir}/scripts/search.mjs "查询" -n 10
node {baseDir}/scripts/search.mjs "查询" --deep
node {baseDir}/scripts/search.mjs "查询" --topic news
选项
-n:结果数量(默认:5,最大:20)--deep:使用高级搜索进行深度研究(更慢、更全面)--topic:搜索主题 -general(默认)或news--days:对于新闻主题,限制到最后n天
从URL提取内容
node {baseDir}/scripts/extract.mjs "https://example.com/article"
- 需要从https://tavily.com获取TAVILY_API_KEY
- Tavily针对AI优化——返回干净、相关的片段
- 使用
--deep进行复杂研究问题 - 使用
--topic news获取当前事件
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制