by 安全扫描
OpenClaw
安全
medium confidence该技能的指令与需求在内部与无头浏览器 CLI 自动化一致,但存在少量元数据/指令不匹配及常见隐私风险需注意。
评估建议
本纯指令技能功能如描述:通过 'agent-browser' CLI 实现浏览器自动化。使用前请:(1) 确认你或平台已安装官方 'agent-browser' 包(npm 与 GitHub 仓库),技能不会自动安装。(2) 谨慎处理 state 文件(auth.json),其中可能含会话 cookie 与令牌,勿加载不可信来源的状态。(3) 网络路由与请求检查功能可暴露或修改流量,仅在你信任且已获授权的网站使用。(4) 如需更高保障,安装前请核对 SKILL.md 引用的上游仓库与发布产物。...详细分析 ▾
ℹ 用途与能力
SKILL.md 描述无头浏览器 CLI(agent-browser),包含导航、快照、网络路由、状态保存/加载等命令,与所述目的一致。但技能注册元数据未声明所需二进制文件,而 SKILL.md 元数据与指令明确要求 'agent-browser' 命令并推荐 'npm install -g agent-browser',存在不匹配:CLI 为必需但注册要求中未声明该包/二进制。
✓ 指令范围
运行时指令聚焦浏览器自动化(打开、快照、点击、填充、网络路由、会话/状态管理)。指令涉及读写状态文件(如 auth.json)及使用网络路由/模拟——可处理敏感令牌/cookie,但属于浏览器自动化工具正常范围。指令未引导读取无关系统文件或超出目标网页的外部端点。
ℹ 安装机制
技能包内无正式安装规范,仅为指令。SKILL.md 建议 'npm install -g agent-browser' 并执行 'agent-browser install' 下载 Chromium。因无安装规范,平台不会自动安装二进制,操作者需自行安装。安装前请验证 npm 包及 Chromium 下载源自官方仓库。
ℹ 凭证需求
技能未声明所需环境变量或凭证。文档示例 AGENT_BROWSER_SESSION 环境变量并描述将 cookie/storage 保存/加载至文件。虽适合会话隔离与跳过登录,但保存的状态文件可能含敏感 cookie/令牌,用户应避免加载不可信的 auth 文件并注意状态文件存放位置。
✓ 持久化与权限
技能未标记 'always',也未请求平台级持久权限。指令仅保存/加载自身状态文件(auth.json),属于浏览器自动化 CLI 正常行为,未指示修改其他技能或系统级设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.22026/4/20
- 内部元数据文件已更新 (_meta.json)。 - 文档或功能集无面向用户的变更。
● 无害
安装命令
点击复制官方npx clawhub@latest install handy01-agent-browser
镜像加速npx clawhub@latest install handy01-agent-browser --registry https://cn.longxiaskill.com