by 安全扫描
OpenClaw
可疑
medium confidence该技能大体上是一个网页变更监控器,但其声明的需求(无)与代码和文档实际所需不符——缺少运行时依赖(Node/Playwright、Python 库)、未声明的凭据(Feishu webhook/token),以及 README 中提到的外部“yk-global”验证端点在 SKILL.md 中未作说明。
评估建议
该技能看似实现网页变动监控,但存在多处不一致,安装前请谨慎:
- 验证运行时依赖:代码通过 Node 子进程运行 Playwright,并调用 Python 库(BeautifulSoup/requests)。技能元数据未声明 Node、Playwright 或 Python 依赖——需自行安装或向作者索要安装说明。
- 确认通知凭证:Feishu(Lark)需 webhook 或应用凭证才能发消息。技能元数据未声明所需环境变量。请检查 monitor.py 读取 webhook/token 的位置,勿提供高权限凭证,除非你清楚其用途。
- 审查 README 中的外部接口(https://api.yk-global.com/v1/verify):在代码中搜索对 yk-global.com 或其他第三方的 HTTP 调用,了解向该接口发送的数据(等级验证、遥测或更多)。若代码联系第三方,请询问传输内容及其是否可选。
- 注意本地数据写入:会在 ~/.web-change-monitor/history.db 保存任务与变动历史。若监控敏感 URL 或内容,相关数据将本地...详细分析 ▾
⚠ 用途与能力
名称/描述声称这是一个通过飞书通知的通用网页变更监控工具——该用途合理,且与代码的检测逻辑一致。然而,skill 的元数据未声明任何所需二进制文件或环境变量,而实现却通过 Node 子进程调用 Playwright 并发送飞书消息。README 还宣传了一个令牌验证端点(https://api.yk-global.com/v1/verify),该端点与用户声明的监控/通知需求无关,且在 SKILL.md 中未作说明。
ℹ 指令范围
SKILL.md 中的说明描述了获取页面、计算哈希、选择器/正则/关键字检查、将历史记录存储于 ~/.web-change-monitor/history.db,并推送 Feishu 消息——这些都在声明的目的范围内。然而,SKILL.md 遗漏了运行这些步骤所需的运维细节(Node/playwright、Python 依赖),也未提及 README 中引用的任何外部验证/遥测端点。运行时指令确实会将数据持久化到用户主目录中的数据库,并调用 Node 子进程运行 Playwright。
⚠ 安装机制
技能仅为指令(无安装说明),但代码会启动 Node -e 脚本,需要 Node.js 和 Playwright;Python 还需 bs4,可能还要 requests。未声明安装步骤或所需二进制文件,存在不匹配——未安装这些组件将导致运行时失败或异常行为。提供的代码未直接从未知 URL 下载,但缺少安装指引是实际风险。
⚠ 凭证需求
Registry 元数据未列出任何必需的环境变量,但实际功能(Feishu 推送、测试时通过 WEB_MONITOR_DB 可选覆盖数据库)暗示需要凭据/ webhook 和配置。README 还提到外部令牌验证端点(api.yk-global.com),表明可能使用额外的密钥或令牌——均未声明。这一缺口意味着该 Skill 可能期望或发送元数据中未披露的秘密。
ℹ 持久化与权限
该技能将持久化状态写入 ~/.web-change-monitor/history.db(SQLite),并启动 Node 子进程抓取页面。always 为 false(正常)。写入按用户路径在此场景下合理,但涉及持久化磁盘访问,用户需自行权衡。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
Web-watcher 1.0.0 首发: - 支持自定义 URL,定时自动检测网页变化 - 提供整页哈希、关键词匹配、CSS 选择器、正则表达式等多种检测模式 - 变更自动推送飞书 IM,监控任务可随时增删查 - 多档订阅套餐,按数量/频率/功能灵活选择 - SQLite 本地存储所有监控记录与变更历史 - 适用于竞品监控、价格/库存变动、内容更新提醒等场景
● Pending
安装命令
点击复制官方npx clawhub@latest install web-watcher
镜像加速npx clawhub@latest install web-watcher --registry https://cn.longxiaskill.com