by 安全扫描
OpenClaw
可疑
medium confidence该技能基本如描述,但存在不一致:未实现远程 macOS 节点抓取,且依赖第三方提取服务(r.jina.ai),可能泄露敏感数据。使用前请审查。
评估建议
["第三方提取服务:ingest_url.py 使用 https://r.jina.ai/<URL> 提取文章文本,可能泄露敏感信息。如需隐私,请考虑替换为本地提取器。","未实现的 macOS 节点路径:SKILL.md 中描述的通过连接的 macOS 节点(nodes.run)执行抓取的功能未实现,脚本仅创建占位条目。","本地存储与权限:默认写入 /home/ubuntu/.openclaw/kb,确保目录权限适当,避免存储敏感信息。","网络暴露:脚本对目标 URL 和 r.jina.ai 发出 HTTP GET 请求,可能导致数据泄露。","审查/验证:由于技能源和主页未知,建议在沙盒中运行,检查 KB 输出路径,考虑修改代码以使用本地提取器或记录较少的细节。"]...详细分析 ▾
ℹ 用途与能力
名称/描述与代码匹配:脚本从 URL 和图像中提取内容,写入 content.md/meta.json 条目、index.jsonl,标记条目,并提供搜索/周报工具。
ℹ 指令范围
指令专注于从 URL 和图像中提取内容并写入本地知识库。
✓ 安装机制
无安装规格;仅依赖指令和小型 Python 脚本,使用 Python 和 requests 运行。
⚠ 凭证需求
该技能不请求凭证或特殊环境变量,但通过第三方服务发送 URL 和内容。
✓ 持久化与权限
技能不请求 always:true,不修改其他技能,只在单一知识库树下写入文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.32026/2/13
chore: 周报 + 微信待补抓回报
● 可疑
安装命令
点击复制官方npx clawhub@latest install knowledge-base-collector
镜像加速npx clawhub@latest install knowledge-base-collector --registry https://cn.longxiaskill.com
技能文档
SKILL.md 中文翻译(由于原始内容较长,以下为简要翻译,保留关键部分)