📦 Business Tools Pack — 数字产品自动化七件套
v1.0.0集成7项自动化能力,专为数字产品创业者打造:分析追踪、交易信号优化、客户调研、邮件自动化、Gumroad页面生成、评价收集及第一性原理分析,一键提升独立黑客效率。
0· 81·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能包高层描述明确涉及敏感凭证与自主行为(交易循环、邮件发送、抓取),但注册元数据未声明任何所需环境变量或安装行为——信息不匹配,需审慎核查后再安装。
评估建议
请勿盲目安装此包。继续前:1) 逐一检查所含子技能(analytics-tracking-dv、autosignals-davinci、customer-research-dv等)的SKILL.md与代码,确认所需env变量、API端点及文件访问;2) 验证来源:索要源码或仓库链接,审阅代码与发布历史;3) 在审查子技能代码前,勿提供生产API密钥(邮件服务、Gumroad、支付/券商API),先用沙盒/测试账户;4) 对AutoSignals组件保持警惕——自主交易可能造成资金损失;初始阶段要求人工确认或只读/模拟模式运行;5) 确认抓取行为符合目标站ToS与隐私规定,并安全处理任何用户/客户数据。若作者无法提供可审计来源及凭证清单与理由,视该包为高风险。...详细分析 ▾
⚠ 用途与能力
该包声称的功能通常需外部凭证与服务(ConvertKit/Mailchimp API密钥、Gumroad访问、券商/API密钥用于自主交易,以及抓取社交平台访问)。但注册元数据未列出所需env变量、主凭证及配置路径,这种不匹配表明对实际需求的低申报。
⚠ 指令范围
SKILL.md为纯指令包,指示代理安装七个子技能(含自主交易循环与社交抓取)。指令未说明这些子技能所需的凭证或配置,也未描述抓取的数据处理、同意或限速。自主交易与自动抓取属高影响行为,缺乏运行时细节属于范围/清晰度问题。
ℹ 安装机制
该捆绑包本身无安装规范(仅指令),降低即时磁盘写入风险。但快速入门指示使用'clawhub install'从未知来源获取七项其他技能;这些子技能安装可能拉取任意代码。该包未提供主页或源码链接以验证子技能出处。
⚠ 凭证需求
README明确指出某些技能需API密钥与Python,但注册元数据未声明所需环境变量或主凭证。邮件发送、Gumroad页面创建、评价收集及自主交易循环等功能通常需多组敏感密钥(邮件服务API密钥、支付平台令牌、券商API密钥)。缺少声明的env需求与其功能不成比例且不透明。
ℹ 持久化与权限
always:false与默认自主调用设置正常。真正风险在功能层面:其中一项技能为“自主交易信号优化循环”,若安装并允许自主运行,可能使用敏感凭证持续执行外部操作。该包未记录自主运行的安全保护、沙箱或所需权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/28
首次发布:面向数字产品业务的7项自动化技能——分析追踪、自主交易信号优化、客户调研、邮件自动化、Gumroad页面生成、评价收集及第一性原理分析。为独立创始人和 indie hacker 打造。
● 无害
安装命令
点击复制官方npx clawhub@latest install pack-business-tools
镜像加速npx clawhub@latest install pack-business-tools --registry https://cn.longxiaskill.com