by 安全扫描
OpenClaw
可疑
medium confidence该技能基本符合其声明目的(通过浏览器工具收集公开 X/Twitter 帖子),但包含不一致/风险细节(尤其是硬编码的本地路径和依赖于认证浏览器会话的指令),因此在使用前应谨慎。
评估建议
["安装或运行前,请审查和修改 `config.json` 中的路径,不应接受或使用硬编码的 `/Users/chendongtao/...` 位置;将截图/报告指向一个受控目录。","运行时如果浏览器已登录到重要账号,请谨慎,因为技能会捕获完整页面快照/截图,可能捕获浏览器配置文件中的其他认证内容。","如果仅需公开推文,请避免在技能使用的同一浏览器配置文件中登录 X;或使用隔离配置文件。","确认速率/量限制,不要用于违反 X 条款的批量抓取。","因为技能是指令式的,在分享之前检查和清洗任何保存的输出。若需更高的保证,请请求作者提供一个参数化存储路径、避免对本地用户名的假设的版本。"]...详细分析 ▾
⚠ 用途与能力
技能名称/描述与运行时指令一致(使用 OpenClaw 浏览器捕获和解析用户页面)。然而,`config.json` 包含绝对的、用户特定的路径(/Users/chendongtao/...)和其他假设(配置文件:'openclaw'),这些不适合通用可重用技能,并且未在清单中声明。这种不匹配(声明没有所需的配置路径/环境,但嵌入特定用户的目录)是不协调的和惊人的。
⚠ 指令范围
运行时指令通过浏览器工具执行全页面快照/截图,并解析页面内容。它们还建议登录 X 账号以避免内容限制。全页面截图与认证浏览器会话的组合可以捕获超出目标用户公开推文的浏览器配置文件中的敏感或私人数据。指令没有明确限制数据捕获仅限推文内容或限制捕获的页面元素。
✓ 安装机制
这是一个仅指令的技能,没有安装规范,也没有代码文件执行。这最小化了安装风险——没有下载或由安装程序写入的内容——但运行时浏览器操作仍然执行网络/页面访问。
⚠ 凭证需求
清单声明没有所需的环境变量或配置路径,但 `config.json` 硬编码了特定主目录下的本地目录用于截图和报告。要求或写入另一个用户的主目录路径是不成比例的和不可移植的。技能还鼓励使用已登录的 X 账号(这将隐式使用浏览器的 cookie/会话),而没有声明任何凭证处理——这可以通过截图或快照暴露认证会话数据。
✓ 持久化与权限
技能不是始终启用,并且不请求提升的平台特权。它可以被自主调用(平台默认),这会增加爆炸半径如果与其他问题结合,但独自使用,这是预期行为,并不是直接的红旗。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/28
x-twitter-collector v1.0.0 - 首次发布,支持自动收集指定 X/Twitter 用户过去 24 小时的推文(原创 + 转帖),输出包含中英双语对照、截图、推文链接及互动数据的完整报告,支持数据统计、主题分析与汇总,提供 Markdown 报告及长网页截图,简单命令即可收集、整理和分析公开账号的最新动态。
● 无害
安装命令
点击复制官方npx clawhub@latest install x-twitter-collector
镜像加速npx clawhub@latest install x-twitter-collector --registry https://cn.longxiaskill.com
技能文档
技能名称 x-twitter-collector
... (由于字符限制,完整的 cn_skill_md_content 部分请参考您提供的原始文档,以下仅示例开始部分)