by 安全扫描
OpenClaw
可疑
high confidence该技能声称的用途(个性化策展)看似合理,但其运行时指令与交付的代码会请求并传输敏感对话数据至外部服务(Eir),却未声明必要凭据,也未明确警示数据外泄——多处不符,需谨慎。
评估建议
该技能(在独立模式下)将在本地运行 Python 脚本以搜索、爬取、筛选并生成内容。在 Eir 模式下,它将:
a) 运行 Node 配对脚本以获取/存储 Eir API key;
b) 读取对话(USER.md 及各 agent 的最新记录)并提取“私语”与兴趣点;
c) 将生成的内容及可能的对话片段 POST 到 https://api.heyeir.com/api。
安装或启用 Eir 模式前:
1) 检查 scripts/connect.mjs、eir_config.py 及 pipeline 代码,确认凭据存储位置及是否连接其他远程端点;
2) 若在意隐私,避免启用 Eir 模式或提供配对码——仅使用独立模式并保留数据在本地;
3) 通过本地配置文件提供搜索/爬取 API key,而非在全局 env 中共享密钥,除非你了解其存储与权限;
4) 考虑在隔离的 agent/session 中运行该技能(如 cron 示例所示),并在审计代码前禁用 cron;
5) 若要安装,请要求发布者明确声明所需 env 变量(EIR_API_KEY、EI...详细分析 ▾
ℹ 用途与能力
该技能的功能(搜索、抓取、基于 LLM 的筛选与生成、可选地投递至 heyeir.com)符合内容策展人的定位。然而,它还包含“whisper”提取(跨 Agent 读取用户对话)以及需要 API key/配对流程的 Eir 投递模式——而注册元数据却未声明任何必需凭证或配置路径。这一遗漏导致所宣称的需求与技能在 Eir 模式下实际运行所需之间存在不匹配。
⚠ 指令范围
SKILL.md 及其包含的提示明确指示智能体读取 USER.md 以及“所有智能体”近 48 小时内的会话记录,提取兴趣点,并可能将对话片段(Whispers)上传至 Eir API。该范围已超出简单的网络搜索整理,并在启用 Eir 模式时将私人对话内容暴露给外部 API。指令还允许自动调度(cron)并生成子智能体以创建并 POST 内容,增加了无人值守上传的潜在风险。
ℹ 安装机制
未提供正式安装规范(仅含说明),但技能捆绑了多个 Python 和 Node 脚本文件,需被执行(python3 模块与 node connect.mjs)。无外部下载 URL 或隐蔽安装器——代码随技能一起分发。这降低了供应链风险,但执行前需审查捆绑代码。
⚠ 凭证需求
技能与参考文档需要/期望提供 Eir 的 API 凭据(Authorization Bearer / pairing key)以及可选的搜索提供方(search_api_key),但注册表元数据中未列出任何必需的环境变量或主凭据。代码与文档引用了 EIR_API_URL 并期望 EIR_API_KEY(或通过 pairing flow 写入 config/eir.json)。未声明这些机密信息会导致不一致,且无法明确敏感密钥的存储与保护方式。
ℹ 持久化与权限
该技能未请求 'always: true',也未修改其他技能。它会写入自身配置(如 connect.mjs 按文档将配对凭据保存至 config/eir.json),SKILL.md 建议设置 cron 定时任务。默认允许自主调用;结合读取对话及向外部 API POST 的能力,若启用 Eir 模式,影响范围将扩大——授权运行时权限时请权衡。
⚠ scripts/connect.mjs:15
访问环境变量并结合网络发送
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
eir-daily-content-curator 1.0.0 – 个性化每日 AI 新闻策展器初始版本。 - 支持 standalone 与 Eir 集成两种模式。 - 通过对话学习用户兴趣,多源搜索、摘要并生成每日简报。 - 可配置搜索与爬取流程,带 SearXNG、Crawl4AI 回退选项。 - 模块化流程:提取兴趣 → 搜索 → 筛选 → 爬取 → 生成 → 编译每日简报。 - 含安装指南、cron 集成及参考文档。
● 无害
安装命令
点击复制官方npx clawhub@latest install eir-daily-content-curator
镜像加速npx clawhub@latest install eir-daily-content-curator --registry https://cn.longxiaskill.com