📦 wacai-zhishudashi-baidu-ranking — 指数大师百度排名日报 — 抓取百度搜索结果标题并推送
v1.0.0该技能自动抓取百度搜索关键词“指数大师”的结果标题,按顺序整理成列表,并通过企业微信机器人 webhook 推送。适用于日报、定时巡检、品牌词/关键词排名观察和搜索结果快照汇报。
0· 254·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的目的(抓取百度标题并发送到企业微信 webhook)与其代码和指令一致,但包含硬编码的外部 webhook 和可选指令使用用户的 Chrome 配置,这些可能引发数据泄露和权限问题,用户应在安装前了解。
评估建议
["安装或运行前,请注意代码包含默认硬编码的企业微信 webhook URL — 如果您希望消息发送到您控制的目标,请替换它(设置 WECOM_WEBHOOK_URL 或使用 --webhook-url)。","避免授予技能访问您的现有 Chrome 配置或 Browser Relay 的权限,除非您信任它,因为这会暴露浏览上下文和 cookies。","首先使用 --dry-run 检查脚本将发送的 payload。","如果您必须使用此技能处理敏感数据,请审查嵌入的 webhook 密钥并考虑从代码中删除它。","如果不确定,请将其视为可能泄露抓取内容,优先提供您自己的 webhook 端点或在本地运行抓取并手动推送。"]...详细分析 ▾
ℹ 用途与能力
技能名称/描述(抓取百度关键词并推送到企业微信 webhook)与包含的指令和 push_wecom.py 脚本一致。要求 webhook 是预期的用于推送消息,但代码和 SKILL.md 嵌入了一个默认的公共企业微信 webhook URL,这在用户预期提供自己的 webhook 时是异常的。
⚠ 指令范围
运行时指令告诉代理打开 baidu.com、运行搜索,并通过 browser.snapshot 或 evaluate 提取页面标题 — 适合抓取。令人担忧的是,SKILL.md 允许/鼓励使用现有的 Chrome 配置(profile: "chrome")或 Browser Relay 当用户请求时;使用现有配置可以暴露其他浏览上下文、cookies 或数据。SKILL.md 也包括一个明确的 curl 示例与嵌入的 webhook URL(与脚本默认相同),意味着如果用户不覆盖它,抓取的数据将发送到该外部端点。
✓ 安装机制
仅指令的技能,包含一个小的辅助脚本;没有安装规范、下载或安装的包。安装工件的风险很低。
⚠ 凭证需求
技能声明没有必需的环境变量,脚本通过 WECOM_WEBHOOK_URL 接受覆盖,但它提供了嵌入在代码中的 DEFAULT_WEBHOOK_URL 指向一个特定的企业微信 webhook。嵌入远程 webhook 到技能意味着技能收集的数据可能被转发到由技能作者或第三方控制的端点,这在用户不预期的情况下是不成比例的。没有其他凭证被请求。
✓ 持久化与权限
技能不请求 always:true,不修改其他技能或系统范围的配置,并不存储凭证。允许自主调用(平台默认),但这里不与其他高权限结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/10
["发布指数大师百度排名日报初版。","自动化日常工作流:搜索百度“指数大师”,提取主结果标题按顺序排列,并通过 webhook 推送到企业微信。","支持可靠的浏览器自动化、仅主标题提取和处理不完整或失败结果的错误处理。","包括 push_wecom.py 脚本用于灵活的企业微信消息发送(支持多模式)。"]
● 无害
安装命令
点击复制官方npx clawhub@latest install wacai-zhishudashi-baidu-ranking
镜像加速npx clawhub@latest install wacai-zhishudashi-baidu-ranking --registry https://cn.longxiaskill.com镜像同步中