by 安全扫描
OpenClaw
安全
high confidence该技能的代码、指令和要求与其声明的目的(淘宝图像搜索和自动化加购)一致。它会本地保存浏览器会话状态(cookies/storage),这些信息已被记录并应被视为敏感信息。
评估建议
该技能似乎能完成其宣称的功能:使用 Playwright 自动化淘宝图像搜索和加购。安装/运行前,请注意:(1)仅在受信任的机器或沙盒环境中运行,因为脚本会保存淘宝登录 cookies 到指定文件中,应将其视为密码;(2)若不需要持久化登录状态,请运行后删除这些文件;(3)请自行审查包含的脚本;(4)从官方源(npm)安装 Playwright。...详细分析 ▾
✓ 用途与能力
脚本与名称/描述匹配:run-taobao-task.js 编排图像上传、搜索、候选选取和加购;auto-login-taobao.js 处理交互式登录并保存浏览器存储状态。无不相关的凭据、二进制文件或云 API 请求。
✓ 指令范围
SKILL.md 指示运行本地 Playwright 脚本并回退至浏览器工具;运行时动作仅限于读取提供的本地图像、驱动淘宝网站并写入验证文档。该技能明确记录它将会话 cookies/storage 保存到指定文件。无指令引用读取无关主机文件或向淘宝以外的外部端点发送数据。
✓ 安装机制
注册表中无不透明的下载/安装规格;SKILL.md 要求安装 Playwright(通过 npm 和 npx playwright install chromium)。这是浏览器自动化的标准、预期依赖项,与代码使用匹配。
ℹ 凭证需求
该技能不请求环境变量或外部凭据。它会本地持久化浏览器会话令牌和用户数据(cookies/storageState)以实现自动登录 — 这在功能上是必要的,但会创建 SKILL.md 正确警告的敏感文档。
✓ 持久化与权限
always 为 false,该技能不请求永久的平台范围权限。它在技能目录下写入自己的文档和用户数据(verification-artifacts 和 .pw-user-data-taobao),但不修改其他技能或系统范围配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.32026/2/20
此版本(1.1.3)无变化。 - 与上一版本无文件更改。 - 功能、使用方法和文档保持不变。 - 更新安全,无影响。
● 无害
安装命令 点击复制
官方npx clawhub@latest install taobao-image-search
镜像加速npx clawhub@latest install taobao-image-search --registry https://cn.clawhub-mirror.com
技能文档
执行策略
- 优先执行脚本:
run-taobao-task.js。 - 脚本失败、登录超时或页面结构变化时,回退
browser工具。 - 默认不下单、不支付;仅搜索与加购。
输入要求
- 必需:本地图片路径或会话中的图片。
- 可选:预算、偏好(品牌/颜色/尺码)、仅搜索或加购。
... (中间内容与原文相同,省略) ...
安全边界与隐私
- 会话持久化:为实现自动化登录,本技能会将浏览器会话(Cookies 和 Storage State)保存至本地。
- 重要提示:这些文件包含您的淘宝登录令牌,请务必将其视为敏感凭据,严禁上传或分享。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制