by 安全扫描
OpenClaw
可疑
medium confidence该技能的行为与描述一致,但元数据未声明 API Key 和配置路径。运行时会执行远程 npm 代码,建议在使用前验证包和服务。
评估建议
安装/使用前考虑:1. 运行第三方 npm CLI,下载并执行远程代码。2. 发送 API Key 和封面文案到 api.xhscover.cn。3. 局部存储 API Key 未在元数据中声明。建议:验证 npm 包、审查 GitHub 仓库、检查发布者声誉、考虑使用专用 API Key。如果不舒服,可手动在受控环境中运行 CLI。...详细分析 ▾
ℹ 用途与能力
技能名称/描述与运行时一致,但实践中需要 API Key(并局部存储),而元数据未声明任何所需环境变量或主要凭证。这种疏漏与声明的提供 API Key 需求不一致。
⚠ 指令范围
SKILL.md 明确指示运行 npx xhscover 命令,发送封面文案和 API Key 到 api.xhscover.cn,可能在首次使用时自动注册。同时,记录了 CLI 将在 ~/.xhscover 保存 API Key。指令不读取无关系统文件,但会导致凭证存储和向第三方服务传输 — 而元数据未声明配置路径或凭证要求。
ℹ 安装机制
无安装规格(仅指令),包含的脚本简单执行 'npx xhscover'。使用 npx 将在运行时从 npm 注册表获取和执行包,这对于 CLI 是正常的,但意味着远程代码将按需运行。README 和 SKILL.md 指向 npm 包和 GitHub 仓库,这有助于验证,但您仍应在使用前检查 npm 包和仓库。
⚠ 凭证需求
功能上,CLI 需要一个 API Key(对于目的合理),但元数据中的 requires.env 和 primaryEnv 为空。技能将 API Key 持久化到 ~/.xhscover(未声明)。未声明凭证/配置要求的缺失降低了透明度,增加了风险。
ℹ 持久化与权限
技能不是 always:true,也不请求提升平台权限。然而,它通过 CLI 导致 API Key 在用户主目录 (~/.xhscover) 中持久存储。这种持久性在技能范围内,但应在元数据中声明(所需配置路径)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.0.02026/3/4
改用 npx xhscover,支持终端内注册登录,移除手动 API Key 配置
● 可疑
安装命令 点击复制
官方npx clawhub@latest install xhs-cover
镜像加速npx clawhub@latest install xhs-cover --registry https://cn.clawhub-mirror.com
技能文档
通过 npx xhscover 生成小红书风格封面图片。首次使用自动引导注册,跨平台支持。
注意:本技能需要将您的 API Key 和封面文案发送到 xhscover.cn 服务。请确保您信任该服务后再使用。
环境要求
- Node.js >= 18(用于 npx)
首次使用
如果未配置 API Key,运行以下命令注册并自动配置:npx xhscover setup
快速使用
# 生成封面(默认 3:4 竖版)
npx xhscover generate "5个习惯让你越来越自律"
# 指定宽高比
npx xhscover generate "今日份好心情" 1:1
# 查询余额
npx xhscover balance
# 查看历史
npx xhscover history
宽高比选项
| 比例 | 说明 |
|---|---|
3:4 | 小红书标准竖版(默认) |
9:16 | 超长竖版 |
1:1 | 正方形 |
16:9 | 横版 |
npx xhscover 调用 api.xhscover.cn REST API,将封面文案和 API Key 发送到服务端进行处理。
相关链接
- 官网:https://xhscover.cn
- CLI 工具:https://github.com/xwchris/xhscover-cli
- npm 包:https://www.npmjs.com/package/xhscover
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制