📦 知识星球帖子抓取助手 — 自动抓取指定星球内容
v1.0.0自动抓取知识星球最新帖子,支持全部/仅精华筛选、单条帖子详情获取和多星球配置,适用于查看、汇总或检索知识星球内容。
3· 284·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能主要按描述工作,但包含未记录的默认令牌和本地令牌持久化。安装前请审查和控制凭据。
评估建议
["请在安装前设置自己的 ZSXQ_TOKEN,以避免使用嵌入的默认令牌。","该技能会创建/覆盖 token.json 文件,请检查和控制令牌存储。","注册元数据与 SKILL.md 不一致,应将 ZSXQ_TOKEN 视为必需。","如果不舒适默认启用网络访问,请修改代码,移除 DEFAULT_TOKEN 或仅使用环境变量。","脚本仅与 https://api.zsxq.com 通信,安装前请明确设置 ZSXQ_TOKEN 和检查 token.json 权限。"]...详细分析 ▾
ℹ 用途与能力
名称/描述与代码匹配,JS 脚本调用知识星球 API,提供命令列出组、主题、精华和单主题详情。要求 zsxq_access_token cookie (ZSXQ_TOKEN) 与声明的目的一致。但注册元数据报告“无必需环境变量”而 SKILL.md 声明 primaryEnv: ZSXQ_TOKEN,这是一致性问题。
⚠ 指令范围
SKILL.md 指导用户设置 $ZSXQ_TOKEN 运行 node 脚本和引用 groups.json。实际代码还读取和写入本地 token.json,并回退到文件中的 DEFAULT_TOKEN。token.json 使用和 DEFAULT_TOKEN 回退在 SKILL.md 中未记录(仅记录了环境变量使用)。这意味着技能可能在没有显式设置环境变量的情况下运行(使用嵌入的默认值),并将令牌持久化到磁盘——这些行为超出了文档指令的运行范围。
✓ 安装机制
没有远程下载/安装步骤。install.sh仅检查 Node >= 18 并验证内置模块。没有使用外部包/URL 或提取操作。从供应链角度看,安装风险较低。
⚠ 凭证需求
技能需要一个类似凭据的值 (ZSXQ_TOKEN),与其功能成比例。但代码包含一个内置的 DEFAULT_TOKEN (DEFAULT_TOKEN 常量) 并实现了本地持久化 (token.json),如果不提供环境变量,将使用它。内置默认令牌和自动保存令牌到磁盘是敏感行为:可能会在没有明确凭据的情况下使用另一个账户发出请求,并且将在磁盘上保留凭据,除非您审查/清理 token.json。
ℹ 持久化与权限
技能不请求系统范围权限或 always:true。但它会将令牌持久化到 {baseDir}/token.json,并可以在启动时加载该令牌(优先级:env > token.json > DEFAULT_TOKEN)。将凭据持久化到技能目录是一种有限权限,但应记录和控制(文件位置和权限)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/8
初始版本发布,支持抓取星球帖子、精华帖、单条帖子详情和多星球配置。
● 无害
安装命令
点击复制官方npx clawhub@latest install zsxq-fetch
镜像加速npx clawhub@latest install zsxq-fetch --registry https://cn.longxiaskill.com镜像同步中
技能文档
从指定知识星球抓取最新帖子内容,支持全部帖子与仅精华两种筛选模式,支持通过帖子链接或 ID 查看单条帖子详情,支持多星球配置管理。所有输出使用中文。... (中间内容保持原文,仅示例开始)