📦 shopify product — 搜品找爆款
v1.0.1用 PPSPY 检索 Shopify 商品,可按价格、分类、销量、营收筛选,并查看店铺热卖榜,快速锁定高利润爆款。
0· 84·0 当前·0 累计
by @fanyanggod下载技能包
最后更新
2026/4/2
安全扫描
OpenClaw
可疑
medium confidence技能目的与所需凭据一致,但会全局安装并运行来自未验证源的 npm 外部包 ppspy-mcp-server,属中等风险,安装前需额外审查。
评估建议
该技能功能如描述,但需全局安装并运行 npm 包 ppspy-mcp-server。安装前:1) 在 npmjs.com/package/ppspy-mcp-server 或其源码仓库验证包及维护者,审查代码或变更记录;2) 优先在隔离环境或容器安装,而非全局;3) 尽可能限制 PPSPY_API_KEY 权限,测试后轮换密钥;4) 初次使用时监控网络活动及 PPSPY 账户用量与账单;5) 若无法验证包来源,视为更高风险,避免在敏感机器安装。...详细分析 ▾
✓ 用途与能力
名称/描述(通过 PPSPY 进行 Shopify 商品研究)与声明需求(PPSPY_API_KEY)及所列工具一致,要求 npm 安装 PPSPY 连接器符合所述目的。
ℹ 指令范围
SKILL.md 的运行时指令范围狭窄,仅安装/运行 ppspy-mcp-server 并使用 PPSPY API 密钥,未要求读取无关文件或环境变量。但存在内部不一致:包安装步骤与 mcpServers 块嵌入 SKILL.md,而注册元数据列为“无安装规范”——技能确实指示代理执行安装并运行本地服务器进程。
⚠ 安装机制
技能指示全局 npm 安装:'npm install -g ppspy-mcp-server@1.0.1' 并将该二进制文件作为 MCP 服务器运行。npm 包可在安装/运行期间执行任意代码,且未提供包/发布者来源证明,与纯指令技能或来自可验证发布源的安装相比,风险中等偏高。
✓ 凭证需求
仅需 PPSPY_API_KEY,且已正确列为主要凭据,与该技能声明功能相称。
ℹ 持久化与权限
always: false(非强制包含),但技能将安装并运行本地 MCP 服务器进程,运行期间在主机上持续存在。技能可被代理默认自主调用,若包恶意,结合运行第三方服务器,潜在影响范围增大。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/1
- 新增更清晰的设置说明,包含主控制台 (ppspy.com) 与 API 站点 (api.ppspy.com) 链接,便于密钥管理与计费。 - 设置部分现区分使用控制台/商品 UI 与获取 API 访问。 - 功能与工具无变动。 - 版本仍保持 1.0.0。
● 无害
安装命令
点击复制官方npx clawhub@latest install shopify-product
镜像加速npx clawhub@latest install shopify-product --registry https://cn.longxiaskill.com