by 安全扫描
OpenClaw
可疑
medium confidence该技能声称提供全面企业级无人值守自动化堆栈,但提供的代码轻量且简陋,运行指令高层次且开放。所请求的凭证(XIAN_YU_APP_KEY/SECRET)合理,但承诺与实现之间的差异值得谨慎对待。
评估建议
["安装前考虑:1) 技能承诺大型自动化功能集,但包含的代码最小且包含待办事项——预计大量功能由其他技能提供或未实现。2) 需要 XIAN_YU_APP_KEY 和 XIAN_YU_APP_SECRET——仅在验证供应商后向第三方技能授予这些凭证,首选范围受限/测试账户。3) 由于 SKILL.md 对 webhook 和通知设置模糊,询问如何处理推送事件以及是否需要公共端点或入站网络配置。4) 审查依赖技能的源码(xianyu-api-client-skill 和 xianyu-product-manager-skill),确保它们按预期工作且不外泄数据。5) 在受限环境(沙盒或半自动模式)中启动,启用详细日志,并在切换到全自动之前监控操作。6) 验证发布者(主页和所有者),如果需要宣传的高级功能,请请求实现路线图或额外代码。"]...详细分析 ▾
ℹ 用途与能力
名称/描述、所需环境变量(XIAN_YU_APP_KEY、XIAN_YU_APP_SECRET)和 Python 要求与闲鱼自动化技能一致。然而,SKILL.md 承诺了一个大型功能集(实时监控、风险警告、Webhook 处理、智能决策引擎),而提供的 __init__.py 很小,只实现了几个简单方法,并包含 TODO 项和对其他两个技能的重依赖。这是能力/营销与实现之间的不匹配。
⚠ 指令范围
SKILL.md 是高层次的,赋予代理广泛的自由来配置自动化、通知渠道和 Webhook 处理,但它没有提供关于接收推送事件、打开端点或集成通知系统的具体运行时指令。它还承诺了推送回调处理和 24/7 监控,但没有 Webhook/服务器代码或网络设置。因此,指令模糊,允许代理在小型实现之外广泛操作。
✓ 安装机制
没有安装规范(仅指令和小代码文件)。这降低了来自下载或任意安装脚本的风险。所需的二进制 Python 适合提供的代码。
✓ 凭证需求
仅声明 XIAN_YU_APP_KEY 和 XIAN_YU_APP_SECRET 为所需;这些是闲鱼集成的预期凭证。技能提到可选通知配置(WeChat/SMTP),但不声明或要求相关秘密。没有迹象表明它请求无关的云凭证或系统秘密。
✓ 持久化与权限
技能不请求 always:true 并使用正常的自主调用默认值。它似乎不修改其他技能或系统配置。没有声明任何提升的持久性或特权系统更改。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/26
技能描述和文档完全重写和升级,以提高清晰度和可用性。现在具有企业级生命周期管理、智能决策引擎和风险警报系统。添加了对策略配置、风险控制、通知偏好和用户交互流程的明确指南。强调渐进式推出、数据监控和合规的最佳实践。元数据更新了环境和依赖详细信息,以实现无缝集成。
● 无害
安装命令 点击复制
官方npx clawhub@latest install xianyu-automation-skill
镜像加速npx clawhub@latest install xianyu-automation-skill --registry https://cn.clawhub-mirror.com
技能文档
#闲鱼自动化技能
介绍
为闲鱼店铺提供企业级自动化运营能力...(**注意:由于原始内容未提供完整的 SKILL.md,以上仅为示例。实际翻译中,请替换为完整的、翻译后的 SKILL.md 内容,保留 YAML frontmatter 不翻译,代码块和 Markdown 格式保持不变。)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制