📦 pixiv-skill — Pixiv抓取下载
v1.0.1无需自动登录,凭Cookie鉴权抓取Pixiv排行榜、关键词搜索、作品详情与画师动态,优先缓存元数据,按需下载图片或回传直链,支持点赞收藏关注。
0· 233·1 当前·1 累计
by 下载技能包
最后更新
2026/4/19
安全扫描
OpenClaw
可疑
medium confidenceNULL
评估建议
该 skill 的功能(抓榜、搜索、下载、互动)与代码实现基本一致,但文档声称“仅使用 Cookie,已移除自动登录”,而代码仍包含完整的 OAuth/login/refresh 与 token 持久化逻辑。建议在安装/运行前:
- 仔细审阅并确认你愿意让脚本创建/修改 config.yaml(凭据会被写入/刷新到该文件)。
- 如果你不想持久化任何 token,请在运行前将 login/refresh 相关代码禁用或只使用 scripts/latest_rank.py / get_rank.py(这些脚本看起来仅依赖 Cookie/代理并不做 token 持久化)。
- 在受控环境中(例如容器或隔离的目录)先试运行,检查产生的文件(config.yaml、downloads/search_cache.json、downloads/*)。
- 不要把敏感凭据放在全局共享路径;如果需要使用 OAuth 流程,确保理解并信任 CLIENT_ID/CLIENT_SECRET 的来源并保管好 refresh_token。
- 若你只期望“只读 cookie 并不保存任何登录信息”,不要安装...详细分析 ▾
ℹ 用途与能力
技能名和主要功能(抓榜、搜索、缓存元信息、按需下载、互动、画师监控)与代码实现(scripts/*.py)一致 — 网络请求、下载、缓存、点赞/关注逻辑均在代码中看到,因此功能上是匹配的。但 SKILL.md 明确写“仅支持 Cookie 鉴权(已移除自动登录流程)”,而代码包含完整的 OAuth PKCE/login/token 刷新与持久化逻辑,说明说明文档与实际能力不一致。
⚠ 指令范围
SKILL.md 指导 AI 使用 config.yaml 的 Cookie 并优先仅缓存元信息;但运行时代码会读取并写入 config.yaml(包括保存/刷新 access_token/refresh_token),并会创建下载目录、写入 search_cache.json、保存图片文件。文档未充分说明代码会持久化 OAuth 凭据与修改配置文件,存在范围说明不完整的风险。所有外出网络请求目标均为 Pixiv 官方域名(oauth.secure.pixiv.net, app-api.pixiv.net, pixiv.net),未发现可疑第三方回传,但代码会进行网络 I/O、文件写入与凭据持久化,这些行为超出“只读取 Cookie”的承诺。
✓ 安装机制
该技能为 instruction-only + 包含本地 Python 脚本,无安装脚本或外部二进制下载;依赖通过 requirements.txt 列出。没有下载不明外部归档或使用可疑 URL,安装机制风险较低(但会在本地写文件)。
ℹ 凭证需求
注册表中未要求环境变量或外部凭据,代码也主要依赖本地 config.yaml 中的 cookie 或 OAuth token。不过代码中包含 CLIENT_ID/CLIENT_SECRET 字面量(用于 OAuth),并会在 config.yaml 中写入 access_token/refresh_token;如果用户以为只有 cookie 被使用,这种自动持久化凭据的行为可能违反最小权限预期。没有看到请求其他无关服务凭据或访问系统范围凭据的行为。
✓ 持久化与权限
技能没有设置 always:true,也没有声明修改其他技能或系统配置的行为。它会在自身目录下创建/修改 config.yaml、downloads 目录和 search_cache.json(自我持久化/写入是合理且可预期的),但用户应知晓这些文件会被写入与更新。
⚠ config.example.yaml:13
Install source points to URL shortener or raw IP.
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/16
NULL
● 无害
安装命令
点击复制官方npx clawhub@latest install pixiv
镜像加速npx clawhub@latest install pixiv --registry https://cn.longxiaskill.com