📦 GoodVerify — 联系方式验证工具
v0.1.0使用 goodverify CLI 验证电子邮件、电话号码和邮寄地址。适用于验证联系数据、检查投递能力、验证地址、查询电话号码、查看 API 使用情况等场景。
1· 70·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能的描述匹配一个联系方式验证工具,但运行时指令要求提供 API 密钥并指示代理安装远程脚本(curl | sh),而注册表元数据声称无需凭据或安装——这种不匹配和远程安装指令令人怀疑。
评估建议
安装前需考虑的事项:1) 技能的元数据遗漏了 SKILL.md 中描述的 API 密钥和 CLI 依赖——将其视为危险信号,要求发布者更正元数据。2) SKILL.md 建议从原始 GitHub URL 执行 curl ... | sh,切勿盲目运行。应先检查 install.sh 内容(查看仓库中的文件或克隆仓库),优先选择签名/发布版本,或请求官方发布的安装方式。3) 尽可能只向代理提供只读密钥(pk_*),避免向代理提供 sk_* 写入密钥或在对话中粘贴这些密钥。4) 如必须使用此工具,需确认仓库所有者并固定特定提交或发布版本,同时审查安装脚本以排除恶意行为。5) 要求技能元数据更新,声明所需的二进制文件和环境变量(API 密钥、CLI),以便在安装前进行知情风险评估。...详细分析 ▾
ℹ 用途与能力
SKILL.md 详细描述了预期功能(邮箱、电话、地址验证),需要 goodverify CLI 和 API 密钥——这与声明的目的一致。然而,注册表元数据未列出所需的二进制文件或环境变量,与 SKILL.md 存在矛盾。缺少 API 凭据和 CLI 要求的声明是不一致之处,需要解释。
⚠ 指令范围
运行时指令指示代理检查/安装/配置 goodverify CLI,要求用户提供 API 密钥/基础 URL,并执行验证和批量命令。虽然验证命令本身与目的相符,但指令明确建议执行远程安装脚本(curl -fsSL https://raw.githubusercontent.com/.../install.sh | sh)——这是下载并执行任意代码的指令。SKILL.md 还提到批量操作需要 sk_*(读写)密钥;指示代理/用户提供此类密钥而不加限制会增加风险。
⚠ 安装机制
注册表元数据中没有正式的安装规范,但指令建议从 raw.githubusercontent.com URL 执行 curl | sh。从远程安装脚本下载并管道执行比使用经过验证的包发布或分发包风险更高。该 URL 是直接的原始 GitHub 路径而非固定的发布存档,增加了篡改或意外更改的风险。
⚠ 凭证需求
注册表元数据未声明所需环境变量或主要凭据,但 SKILL.md 明确要求 goodverify.dev API 密钥,并提及批量操作的读写 sk_* 密钥和只读 pk_* 密钥。这种不匹配很显著:该技能需要敏感的 API 密钥才能运行,但这些需求未在元数据中声明。该技能不请求无关凭据,但在元数据中未声明所需密钥会增加用户发现和审计的难度。
ℹ 持久化与权限
该技能仅包含指令,非始终启用;未声明特权持久行为。然而,SKILL.md 指示安装 CLI,这会在用户系统上创建软件并持久保存配置(包括 API 密钥)——这是需要用户明确批准的持久操作。此持久性未反映在注册表元数据中。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/3/23
GoodVerify 技能首次发布,用于联系方式数据验证。- 支持使用 goodverify CLI 和 API 验证电子邮件、电话号码和地址。- 提供单个和批量验证、使用量检查及 API 健康状态命令。- 包含 CLI 配置指南(API 密钥和环境)。- 提供每种验证类型的响应字段说明,帮助解读结果。- 支持 JSON 输出,便于解析和自动化。- 列出全局选项和最佳实践指南。
● 可疑
安装命令
点击复制官方npx clawhub@latest install goodverify
镜像加速npx clawhub@latest install goodverify --registry https://cn.longxiaskill.com镜像同步中
技能文档
通过 goodverify.dev API 验证电子邮件、电话号码和邮寄地址。
前置条件
必须安装并配置好 goodverify CLI。检查方法:
goodverify --version
goodverify configure --show
如未安装:
curl -fsSL https://raw.githubusercontent.com/agoodway/goodverify_cli/main/install.sh | sh
如未配置,请向用户询问 API 密钥和基础 URL,然后:
goodverify configure --env production --url https://goodverify.dev --key
命令
验证邮箱
检查投递能力、域名 MX 记录、临时邮箱/ catch-all/角色账户标志。
goodverify verify email --email user@example.com
关键响应字段:
deliverability.status—deliverable(可投递)、undeliverable(不可投递)或risky(风险)deliverability.reason—accepted_email(已接受)、rejected_email(已拒绝)、unknown(未知)等flags.is_disposable— 临时邮箱服务flags.is_catch_all— 域名接受所有地址flags.is_role_account— 通用地址如 info@、support@domain.has_mx_records— 域名可接收邮件
验证电话
检查运营商、电话类型(手机/固话/VoIP)、合规性(DNC/TCPA)和格式。
goodverify verify phone --phone "+15551234567"
goodverify verify phone --phone "5551234567" --country US
关键响应字段:
valid— 号码是否有效phone_type—mobile(手机)、landline(固话)、voip、toll_free(免费电话)carrier.name— 运营商名称compliance.dnc— 在禁止呼叫列表上compliance.tcpa— 需要 TCPA 同意formatted.e164— 标准格式
验证地址
标准化、地理编码、检查投递能力、查找业主信息。
单个字符串:
goodverify verify address --address "123 Main St, Springfield, IL 62701"
结构化字段:
goodverify verify address --street "123 Main St" --city Springfield --state IL --zip 62701
关键响应字段:
deliverability—deliverable(可投递)、undeliverable(不可投递)、missing_unit(缺少单元号)standardized_address— USPS 标准化的组件geo_location— 纬度、经度、准确度owners— 业主信息(姓名、其他地址、电话、邮箱)property.type— 住宅、商业等
批量操作
goodverify batch list # 列出所有批量作业
goodverify batch get --id # 获取批量作业详情
goodverify batch results --id # 下载结果
goodverify batch sample > template.csv # 获取 CSV 模板
使用量与健康检查
goodverify usage # 积分余额、套餐、速率限制
goodverify health # API 健康检查(无需认证)
全局选项
所有命令支持:
--env— 使用指定配置的环境--key— 覆盖此请求的 API 密钥--url— 覆盖此请求的基础 URL--json— 输出原始 JSON(默认是格式化输出)
指南
- 需要程序化解析响应时,始终使用
--json - 批量验证时,优先使用
batch命令而非循环调用verify - 电话号码应包含国家代码或使用
--country标志 - 地址验证在完整地址(街道、城市、州、邮编)时效果最佳
- 大批量操作前检查
goodverify usage确认积分余额 sk_密钥是读写密钥(批量操作需要)。pk_密钥是只读密钥。