📦 Bid — 出价
v1.1.0投标情报监控系统:实时抓取锂电池、储能及装配段行业招标信息,追踪无锡先导、海目星、赢合科技、联赢激光四家竞争对手投标动态;每周自动采集、生成表格报告并邮件推送。
0· 5·0 当前·0 累计
by 下载技能包
最后更新
2026/4/24
安全扫描
OpenClaw
可疑
medium confidence该技能的代码与 SKILL.md 均符合所述的竞价监控用途,但元数据缺失及若干实现选择(缺少依赖声明、注册表中未列出必需的 SMTP 凭据、抓取时禁用 SSL 验证)存在不一致或风险,安装前应予以复查。
评估建议
安装前需检查:
- 元数据不匹配:registry 声明无需二进制或环境变量,但 SKILL.md 和脚本需要 Python 运行时及 SMTP 凭据。确认本地已安装 Python 及可选库(openpyxl)。
- SMTP 凭据:技能需 BID_SMTP_USER 与 BID_SMTP_PASS 发信。使用专用仅发信账号或应用专用密码,勿复用高权限个人凭据;启用自动发送前确认 REPORT_TO 列表及收件人。
- 禁用 SSL 验证:parse_bids.py 与 search_bids.py 抓取 URL 时故意关闭 SSL 验证,若网络可被劫持,存在内容篡改风险。尽量在可信网络环境运行,或改代码强制 SSL 验证。
- 外部抓取:技能会访问大量第三方 URL(行业站点、政府门户)。确认有权抓取,遵守速率限制及法律/合同约束;检查 CSV_LINKS 无意外端点。
- 机密处理:代码仅从环境变量读取 SMTP 凭据, bundle 内无外传,但仍需审查日志、部署、定时任务、CI 日志、备份等,防止意外泄露。
- 运维安全:先在沙箱测试。本地用 --dry...详细分析 ▾
✓ 用途与能力
名称/描述(监控投标、生成周报、发送邮件)与所含脚本一致:search_bids.py、parse_bids.py、enrich_*.py、generate_report.py 和 send_email.py。代码确实实现了所宣称的抓取、增强、报告和邮件发送功能。
ℹ 指令范围
SKILL.md 指示运行捆绑的 Python 脚本并配置 SMTP 环境变量——与代码一致。脚本会抓取多个外部行业网站以及硬编码的 CSV_LINKS URL 列表(符合此用途)。注意:解析/搜索代码禁用了 SSL 验证(verify_mode = CERT_NONE),在获取页面时削弱了传输安全性,可能增加中间人注入内容的风险;这是实现层面的选择,与声明的高层目的无关,应予以说明。
⚠ 安装机制
该技能没有安装规范,但包含多个需要 Python 运行时的 Python 脚本。generate_report.py 可选依赖 openpyxl(缺失时会打印警告)。Registry 元数据声明无需任何二进制文件或依赖,这与实际情况不符——该技能实际依赖 Python,且生成 Excel 输出可能还需 openpyxl。未声明运行时/依赖指令,造成安装/集成不匹配。
⚠ 凭证需求
SKILL.md 将 SMTP 凭据(BID_SMTP_HOST、BID_SMTP_PORT、BID_SMTP_USER、BID_SMTP_PASS、BID_REPORT_TO)列为必填,而 send_email.py 正是读取这些环境变量。为发送报告而索要 SMTP 用户名/密码是合理的。然而,registry 元数据却声明“无必填环境变量”——这种不一致令人担忧,因为敏感的 SMTP 凭据被隐式要求,却未被发布者在元数据中明示。请确认你愿意提供邮箱账户密码,并尽量使用专用/仅发送账户或应用专用密码。
✓ 持久化与权限
该技能未标记 always:true,也不会修改其他技能或代理设置。它按需运行或通过 cron 运行;自主代理调用保持默认,但此处未附加额外的高权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.02026/4/24
修复文档使用说明,移除废弃脚本,统一工作流为 enrich_bids.py
● Pending
安装命令
点击复制官方npx clawhub@latest install bid-watcher
镜像加速npx clawhub@latest install bid-watcher --registry https://cn.longxiaskill.com