by 安全扫描
OpenClaw
安全
high confidence该技能功能如描述所示(抓取 Solidot 内容并整理/推送至 Feishu);未发现未说明的凭据请求或网络外泄,但运行时需要特定 CLI,且 Python 脚本存在解析错误。
评估建议
该技能与其声明的目的内在一致——抓取 solidot.org 并准备飞书文档。安装前需注意:(1) 脚本需要 openclaw 浏览器命令和 feishu_doc CLI 可用(这些未在注册表元数据中声明);如果没有这些,推送步骤将回退到本地保存。(2) Python 解析器可能存在拼写错误('shref' 正则表达式),可能导致文章提取失败——解析可能不稳定。(3) 如果配置 FEISHU_DOC_TOKEN,确保令牌范围仅限于您预期的文档/空间;将令牌视为密钥处理。(4) 由于 shell 脚本启动浏览器并导航页面,如果您担心基于浏览器的操作,请在受信任/沙盒环境中运行。如需更高保障,请先在本地查看或运行脚本,验证 openclaw 和 feishu_doc CLI 的存在和行为。...详细分析 ▾
ℹ 用途与能力
名称/描述与代码一致:都抓取 Solidot 文章并推送或保存内容。但是,技能元数据未声明所需的二进制文件,而运行时脚本调用外部 CLI(openclaw 浏览器命令和 feishu_doc CLI)。这种不匹配是一种不一致——这些二进制文件/工具是完整功能所必需的,但未声明。
✓ 指令范围
SKILL.md 将运行时操作限制为运行 fetch.sh(或 cron)以及可选设置 FEISHU_DOC_TOKEN。脚本仅访问 solidot.org(通过浏览器或直接 HTTP),构建消息内容,并在本地写入或尝试写入飞书文档。它们不会读取无关的系统文件或向意外的远程主机传输数据。
✓ 安装机制
无安装规范(仅说明加捆绑脚本)。安装程序不会下载或写入任何内容;安装机制风险较低。
ℹ 凭证需求
技能未在注册表元数据中声明所需的环境变量,但 SKILL.md 和脚本都接受 FEISHU_DOC_TOKEN(shell 脚本还引用了 FEISHU_APP_ID/FEISHU_APP_SECRET)。这些环境变量对于推送到飞书是合理的,但从元数据中遗漏是用户应该注意的不一致之处。
✓ 持久化与权限
always 为 false,技能不请求永久存在或修改其他技能或全局代理设置。它可以被自主调用(默认),这是正常的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/19
初始版本
● 无害
安装命令
点击复制官方npx clawhub@latest install solidot-push
镜像加速npx clawhub@latest install solidot-push --registry https://cn.longxiaskill.com
技能文档
抓取 Solidot (solidot.org) 的热门文章和最新文章,推送到飞书文档。
触发方式
当用户说:- "推送 solidot"
- "抓取 solidot"
- "solidot 资讯"
使用方法
手动执行
``bash
bash ./fetch.sh
` 配置飞书推送(可选)
设置环境变量推送到飞书文档:
`bash
export FEISHU_DOC_TOKEN="你的飞书文档token"
` 定时任务
自动每天早上 8 点推送:
`bash
openclaw cron add \
--name "solidot每日资讯" \
--schedule "cron 0 8 * Asia/Shanghai" \
--agentTurn "执行命令: bash $SKILL_DIR/fetch.sh"
` 输出
生成飞书文档或本地文件,包含:
- 热门/最新文章(最多15条)
- 文章标题、链接
文件位置
技能目录:./(即$SKILL_DIR)推送脚本:./fetch.sh本地保存:$WORKSPACE/solidot-push.md`