by 安全扫描
OpenClaw
可疑
medium confidence该技能宣称的功能与定价优化工具相符,但 SKILL.md 要求通过 npx 拉取并运行外部代码,而注册条目无源码/主页,来源不明令人担忧。
评估建议
该技能表面功能属实,但在运行 SKILL.md 引用的 npx 安装命令前务必谨慎,因为注册条目无源码/主页。安装或运行前:1) 在 npm 或厂商仓库确认包存在并核对发布者(搜索 nexscope/price-optimization-tool 与 nexscope.ai);2) 审查包内容或源码(或向发布者索取),确保无意外行为;3) 优先使用注册表中声明(带校验和)的安装方式,而非未记录的 npx 命令;4) 在隔离环境(容器或 VM)首次安装,并限制提供的凭据或数据集,直到信任该包。若发布者能提供仓库链接、包校验和或注册安装规范,将提升可信度。...详细分析 ▾
✓ 用途与能力
名称、描述及所列功能(弹性、对标、A/B测试等)与定价优化工具一致。注册元数据中未请求无关权限或凭据。
ℹ 指令范围
SKILL.md 主要为指令性内容,未要求读取无关文件或环境变量。但 Install 部分告诉用户运行 `npx skills add nexscope/price-optimization-tool`,将安装委托给外部包——此操作超出注册元数据,可能拉取并执行任意代码。
⚠ 安装机制
注册表无安装规范,但 SKILL.md 指示使用 npx 拉取包(nexscope/price-optimization-tool)。注册条目中无来源、校验和或声明的主页。npx 可从 npm 或 GitHub 下载并执行代码,故在未验证包的情况下要求用户运行,风险较高。
✓ 凭证需求
注册元数据中未声明所需环境变量、二进制文件或配置路径,与仅提供指令的分析/咨询技能相符。SKILL.md 中未见隐藏凭据请求。
✓ 持久化与权限
always 为 false,技能由用户调用。允许自主调用(平台默认),但未与宽泛或不明凭据访问结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/1
首次发布——多平台电商技能
● 无害
安装命令
点击复制官方npx clawhub@latest install price-optimization-tool
镜像加速npx clawhub@latest install price-optimization-tool --registry https://cn.longxiaskill.com