by 安全扫描
OpenClaw
安全
high confidence该技能的代码、运行指令和要求与其声明的目的相符(从 kaspa.news 获取和格式化公共卡斯帕新闻),不请求凭据也不执行意外安装。
评估建议
该技能看似连贯,实现了其声明的功能:查询公共 kaspa.news API 并格式化结果。安装前注意:(1)脚本需要 python3(带有 requests 模块)和 jq;(2)将进行向 https://kaspa.news/api 的出站 HTTP 请求;(3)技能强制执行精确的呈现规则;(4)无需凭据,但如果 API 基础 URL 改变,视为红旗。...详细分析 ▾
✓ 用途与能力
名称/描述与提供的脚本和 SKILL.md 匹配。脚本仅需要 python3 和 jq(均已声明),并调用 README 中描述的 kaspa.news 公共 API 端点。所需的二进制文件和功能与任务成比例。
ℹ 指令范围
SKILL.md 和 FORMAT_LOCK.md 严格限制了结果的呈现方式(精确的推文文本、表情符号、链接规则)。这虽然不寻常,但与技能的目标(忠实地复制 feed 内容)一致。指令不指示读取其他本地文件、环境变量或向 kaspa.news 和内容中嵌入的已知目标链接(x.com、youtube、reddit)以外的第三方发送数据。
✓ 安装机制
无安装规范(仅指令),仅有捆绑的 shell 脚本。技能本身不执行下载、包安装或存档提取。
✓ 凭证需求
技能不声明任何必需的环境变量或凭据,其代码也不尝试读取秘密。它向单个 API 主机 (https://kaspa.news/api) 执行出站 HTTP GET 请求并解析 JSON。对于实现来说,要求 python3 带有 requests 和 jq 是合理的。
✓ 持久化与权限
always 为 false,技能不请求持久权限,也不修改其他技能或系统范围的配置。它作为按需的 CLI 脚本运行,仅执行预期的网络调用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/2/18
修复 pulse 命令:使用 /api/reports 端点(返回实际数据)而不是 /api/kaspa-pulse(仅触发)
● 无害
安装命令
点击复制官方npx clawhub@latest install kaspa-news
镜像加速npx clawhub@latest install kaspa-news --registry https://cn.longxiaskill.com
技能文档
(由于原始内容过长,仅提供简要翻译,完整内容请参考原始 SKILL.md)
name: kaspa-news 描述:卡斯帕新闻聚合... ...(中略)... 触发短语:使用 'kaspa news'、'kaspa pulse' 等触发...