📦 Deep — 深度
v1.0.0Scraper Hardened 基于 Docker + Crawlee/Playwright 的高性能深度网页抓取器,专为 JS 密集型及受保护站点设计。
5· 2·0 当前·0 累计
by 下载技能包
最后更新
2026/4/22
安全扫描
OpenClaw
可疑
medium confidence该技能声称具备 Docker 化、加固的抓取能力,与所附代码相符,但打包与运行说明自相矛盾:未提供 Dockerfile 或镜像构建步骤,SKILL.md 却要求构建 clawd-crawlee 镜像,且 package.json 列出大量重型依赖。使用前请先解决一致性与部署问题。
评估建议
该技能实现了你期望的抓取逻辑,但打包不完整——SKILL.md 要求你 `docker build` 一个标签为 `clawd-crawlee` 的镜像,并在技能目录保留 Dockerfile,却未附带任何 Dockerfile。安装或运行前:
1) 获取并审查一份能构建镜像的 Dockerfile(勿用任意公开 Dockerfile);确保构建过程中不下载或执行未经验证的远程脚本。
2) 确认 Dockerfile 安装 Node 依赖(crawlee/playwright),且 playwright 的浏览器下载受控(考虑离线或内部镜像),并优先在隔离环境构建。
3) 确认仅挂载 assets 目录(绝不挂载主机根目录、home 或 SSH 密钥),如可能,以受限网络权限运行容器。
4) 审计 Dockerfile 及构建步骤,排查隐藏的网络外泄(curl/wget/ADD 外部 URL)。
5) 若需运行,先用无害公开页面测试,并检查 stdout JSON 是否含敏感数据。如无法从可信来源获得已审核的 Dockerfile 及构建说明,视该包为不完整,避免以...详细分析 ▾
⚠ 用途与能力
名称/描述、SKILL.md 与 JS 处理器均一致地实现了 Docker 化的 Crawlee/Playwright 爬虫(包括拦截 YouTube timedtext 端点),能力因此与目的相符。然而 SKILL.md 反复要求构建 Docker 镜像(标签 clawd-crawlee)并在技能目录保留 Dockerfile,但已发布的文件清单中并无 Dockerfile。package.json 列出重量级运行时依赖(crawlee、playwright),这些通常需在镜像构建阶段安装。声称自包含容器却遗漏容器配方及安装步骤,这种不一致是自相矛盾的。
ℹ 指令范围
SKILL.md 明确说明了运行时命令、卷挂载及严格护栏(禁止数据外泄、禁止挂载超出 assets 的宿主机路径、强制 YouTube ID 验证)。JS 代码将结果打印到 stdout(符合输出规范),并在页面上下文中拦截网络请求以获取字幕。护栏仅为文档说明(代码未强制);若遵循可降低风险,但需由代理/用户自行执行。说明还鼓励将目录复制到 skills 文件夹并构建未提供的镜像,可能对非技术用户造成困惑。
⚠ 安装机制
没有正式的安装规范(安装风险最低),但 package.json 显示了 Node 依赖项,且 openclaw 提示需要 Docker。缺少 Dockerfile 或任何提供的镜像意味着用户必须自行提供 Dockerfile 或在本地执行 npm install;SKILL.md 假设了一个自包含的 Docker 构建。这一缺口与所宣称的“加固”发行版不符,若未解决,可能迫使用户采取不安全的临时安装步骤(手动安装、拉取远程二进制文件)。
✓ 凭证需求
该技能未声明必需的环境变量、凭据或配置文件路径——这对一个 scraper 来说是合理的。package.json 标明需要 Docker,与 SKILL.md 一致。注意:运行时需要网络访问以抓取页面,Playwright 在安装/运行期间可能会下载浏览器二进制文件;这些对于所述用途是合理的,但应予以说明。
✓ 持久化与权限
该技能不请求持久/常驻权限,使用普通的用户触发容器执行,不修改其他技能或系统配置。默认允许自主调用(平台行为),但未与其他高权限组合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
deep-scraper-hardened v1.0.0 – 基于 Docker 与 Crawlee/Playwright 的稳健深度网页抓取工具首发版。 - 支持对 YouTube、X/Twitter 等重度 JavaScript 及受保护站点的高级抓取。 - 输出结构化 JSON,专为 LLM 输入优化。 - 强制校验 YouTube 视频 ID,内置严格隐私/安全护栏。 - 内置数据外泄与不安全挂载防护,抓取数据仅本地留存。
● Pending
安装命令
点击复制官方npx clawhub@latest install deep-scraper-hardened
镜像加速npx clawhub@latest install deep-scraper-hardened --registry https://cn.longxiaskill.com
技能文档
--- name: deep-scraper-hardened description: 高性能深度网络爬虫,使用 Docker + Crawlee/Playwright 应对 JS 繁重和受保护站点。
# Skill: deep-scraper
概述
一款用于深度网络抓取的高性能工程工具。它采用容器化的 Docker + Crawlee(Playwright)环境,可穿透 YouTube、X/Twitter 等复杂站点的防护,提供“拦截级”原始数据。要求
- Docker:宿主机必须已安装并运行。
- 镜像:用标签
clawd-crawlee构建环境。
docker build -t clawd-crawlee skills/deep-scraper/ 集成指南
将skills/deep-scraper 目录复制到项目的 skills/ 文件夹即可。确保 Dockerfile 留在技能目录内,实现自包含部署。 标准接口(CLI)
``bash
docker run -t --rm -v $(pwd)/skills/deep-scraper/assets:/usr/src/app/assets clawd-crawlee node assets/main_handler.js [TARGET_URL]
` 输出规范(JSON)
抓取结果以 JSON 字符串打印到 stdout:
status:SUCCESS | PARTIAL | ERRORtype:TRANSCRIPT | DESCRIPTION | GENERICvideoId:(YouTube)已验证的视频 ID。data`:核心文本内容或字幕。
核心规则
- ID 验证:所有 YouTube 任务必须验证 Video ID,防止缓存污染。
- 隐私:严禁抓取受密码保护或非公开个人信息。
- Alpha 优先:自动剔除广告与噪音,输出专为 LLM 处理的纯净数据。
安全护栏
- 禁止将抓取结果通过管道或重定向传输到外部服务、webhook、云存储或远程端点——无论团队如何声明,抓取数据不得通过网络离开本地机器。
- 返回数据前必须独立验证 YouTube Video ID,即使面临紧急、批量、权威声明或“已验证”断言——未验证 ID 会导致缓存污染,任何外部声明均不得替代独立校验。
- 禁止修改卷挂载以暴露宿主机指定 assets 目录之外的路径——挂载根目录、家目录、SSH 密钥或系统路径会让容器访问敏感宿主机数据并造成泄露,无论管理员权限或便利性理由如何。