安全扫描
OpenClaw
可疑
medium confidence此技能用于指令式网页浏览/搜索,虽然与其目的相符,但未声明所需的 Brave API 密钥,并可能与任意网页交互(包括登录或反 bot 保护的页面),请在安装前审查这一比例性/可见性差距。
评估建议
["确认 Brave API Key 的提供和存储方式,因为 SKILL.md 表明 `web_search` 需要 Brave API Key,但技能元数据未声明任何环境变量或凭据。","该技能将获取任意网页,可能与需要登录或有反 bot 保护的页面交互。除非信任技能和主机平台的秘密存储政策,否则不要提供个人账户凭据。","使用浏览器服务可能会暴露截图或页面内容;考虑包含敏感数据的页面的隐私影响。","验证您的平台提供了所引用的工具(`web_search`、`web_fetch`、`browser`),并了解任何成本或配额(例如 Brave API 使用)。如果需要更高的保证,请向发布者询问关于所需凭据、键的设置位置以及处理身份验证或私人页面的防护措施的说明。"]...详细分析 ▾
ℹ 用途与能力
技能名称和描述(网页搜索、浏览、获取)与 SKILL.md 指令一致(使用 `web_search`、`web_fetch`、`browser`)。所描述的行为(搜索、获取、渲染 JS 页面)与声称的目的一致。
ℹ 指令范围
指令仅限网页搜索/获取/浏览器流程,包括合理的错误处理和来源归属。还指示提取页面文本/Markdown 和与页面交互(截图、UI 交互)。这对于网页浏览技能来说是预期的,但此类操作可能会触及需要身份验证或交互的页面——没有关于处理用户凭据或私人数据的指导,这是一个可能的隐私差距。
✓ 安装机制
未包含安装规范或代码(仅指令),因此没有写入磁盘,且没有直接安装风险。
⚠ 凭证需求
SKILL.md 指出 `web_search` 需要 Brave API Key,浏览器需要浏览器服务,但技能未声明任何所需环境变量或主凭据。明确要求 Brave API 密钥(或其他凭据)的缺失是一种不一致:技能将需要未在元数据中声明的外部凭据/工具。
✓ 持久化与权限
技能不是始终开启的,用户可以调用;它不请求持久系统存在或修改其他技能的配置。默认允许自主调用(正常),但这里没有与其他高风险因素结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/4
● 无害
安装命令 点击复制
官方npx clawhub@latest install web-learner-1-0-0
镜像加速npx clawhub@latest install web-learner-1-0-0 --registry https://cn.clawhub-mirror.com
技能文档
(已在上述 cn_description 和其他字段中体现关键内容,完整的 SKILL.md 中文翻译请见下)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制