by 安全扫描
OpenClaw
可疑
medium confidence技能高层描述(挖掘 Reddit/HackerNews/ProductHunt)看似合理,但运行指令模糊,引用缺失的 prompts 文件,且未声明抓取方式、凭据或限速。
评估建议
该技能看似可信但信息不完整。安装前请向发布者确认:1) references/prompts.md 在哪,包含哪些运行时提示或安全措施?2) 使用官方 API(需哪些凭据)还是直接抓取公开页面?3) 会收集、存储、传输哪些数据,保留多久?4) 抓取这些站点是否涉及限速、法律或隐私风险?若无法获得明确答复(及源码/主页),请视为高风险:优先选择明确声明 API/凭据、含运行时提示/安全措施、发布者可识别的技能。...详细分析 ▾
ℹ 用途与能力
所述目的(从 Reddit、HackerNews、ProductHunt 获取市场情报)与技能名称一致。但技能无来源信息(发布者未知、无主页),未声明如何访问这些站点(无 API、限速处理或凭据说明),还引用了包内不存在的本地文件 references/prompts.md,表明打包不完整或不一致。
⚠ 指令范围
SKILL.md 仅提供高层指令(“搜索平台抱怨”“每日简报”),赋予代理开放式收集权限。这种模糊性可能导致代理进行大范围网页抓取、存储或传输大量提取数据,或访问用户未预期的端点。缺失引用的 prompts.md 意味着缺少重要的运行时指导。
✓ 安装机制
无安装脚本且无代码文件,最大限度降低磁盘风险。纯指令型技能因不会写入或执行安装程序,安装风险较低。
ℹ 凭证需求
未请求环境变量或凭据,对纯指令型技能属合理。然而,真正访问 Reddit/ProductHunt API 通常需 API 密钥或令牌;未声明凭据可能暗示技能依赖无身份验证的抓取(存在法律/服务条款及限速风险)或尚未完成。
✓ 持久化与权限
技能非持续启用,也未请求 elevated 平台权限。允许自主调用(平台默认)——结合指令模糊性,可能在被调用时执行网络活动,但技能本身未请求持久化系统驻留。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/9
Initial release
● 无害
安装命令
点击复制官方npx clawhub@latest install market-intelligence-agent
镜像加速npx clawhub@latest install market-intelligence-agent --registry https://cn.longxiaskill.com