by 安全扫描
OpenClaw
可疑
medium confidence该技能基本按描述工作(搜索和抓取),但允许访问任意URL(包括内部地址),缺乏防止SSRF或敏感数据检索的防护,使用前请谨慎。
评估建议
["启用前注意SSRF风险——脚本可访问localhost和私有IP(无内部主机阻止)","避免传递不受信任或用户提供的URL给其fetch命令","若需网页搜索功能,考虑使用官方Bing API客户端(带有适当的速率限制和认证)而非HTML爬取","若仍要使用,建议在沙盒中执行,添加URL白名单/黑名单 для私有IP范围,并实施检查以禁止请求内部/不可路由IP和敏感路径"]...详细分析 ▾
ℹ 用途与能力
名称/描述与实现匹配:代码在cn.bing.com上执行搜索并可以抓取网页内容。小的不匹配:SKILL.md声称返回总结果计数,但代码返回解析项的计数(results.length)而非Bing报告的总数。
⚠ 指令范围
SKILL.md 指示代理调用包含的Node脚本进行搜索或抓取任意URL。fetch(crawlWebpage)接受任何http/https URL,并将请求和返回页面内容(最多8000字符)。没有检查来阻止请求到localhost、私有IP范围、内部网主机或file: URLs——这创建了SSRF/数据泄漏风险。唯一的过滤是小的社交网站黑名单,它不能缓解内部主机访问或敏感端点。
✓ 安装机制
无安装规格;这是指令+脚本仅,要求node存在。安装期间没有下载或写入内容。
✓ 凭证需求
该技能不请求环境变量或凭证。代码为Bing查询设置User-Agent和Cookie头(以影响搜索行为),但它不需要或泄漏秘密。
✓ 持久化与权限
always为false,技能不修改其他技能配置或系统范围设置。仅在调用时运行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/10
1.0.0 版本发布
● 无害
安装命令 点击复制
官方npx clawhub@latest install bing-search-cn
镜像加速npx clawhub@latest install bing-search-cn --registry https://cn.clawhub-mirror.com
技能文档
使用必应中文搜索引擎进行网络搜索和网页抓取。
工具
1. bing_search 必应搜索引擎搜索
参数:
query(必填): 搜索关键词count(可选): 返回结果数量,默认10条,最多50条offset(可选): 起始偏移,用于分页
- 搜索结果总数
- 每条结果的标题、链接、摘要、网站名称
2. bing_fetch 抓取网页内容(自动跳过黑名单网站)
参数:
url(必填): 要抓取的网页地址
- 网页标题
- 清理后的正文内容
黑名单
自动过滤的网站:- 知乎 (zhihu.com)
- 小红书 (xiaohongshu.com)
- 微博 (weibo.com)
- 微信公众号 (weixin.qq.com)
- 抖音/TikTok (douyin.com, tiktok.com)
- B站 (bilibili.com)
- CSDN (csdn.net)
使用示例
"搜索人工智能最新进展"
"搜索Python教程,返回20条"
"抓取这个网页 https://example.com"
限制
- 需要能访问 cn.bing.com
- 建议每次搜索间隔1-2秒
- 搜索请求直接发送到必应,不存储日志
- 部分网站有反爬限制
技能路径
技能脚本位于:{baseDir}/bing-search.js调用方式
通过exec 工具调用:
node ~/.openclaw/skills/bing-search-cn/bing-search.js search "关键词" 数量 偏移
node ~/.openclaw/skills/bing-search-cn/bing-search.js fetch "网址"
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制