Social Poster — 社交媒体发布工具
v1.0.0通过 VibePost API 发布内容到社交媒体,适用于推特/X 发帖、分享更新或发布社交内容。
0· 919·7 当前·7 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能如声称般工作(发布到社交 API),但嵌入了硬编码 API 密钥并指向未声明的第三方 Replit 端点,这可能允许他人通过该服务发布内容,并未妥善披露。
评估建议
["嵌入的 API 密钥未声明,可能允许任何使用该技能的人通过该服务发布内容 — 请作者移除硬编码密钥,要求通过环境变量传递用户拥有的密钥。","验证端点和运营商(https://vibepost-jpaulgrayson.replit.app) — 它是一个个人/第三方主机,而不是官方、知名提供商。","在信任端点之前,请勿通过该技能发送敏感内容。","更喜欢一个记录元数据中所需凭据并使用进程环境变量(而非嵌入秘密)的版本。如果无法确认维护者或移除嵌入的密钥,请避免安装或仅使用一次性/测试账户运行。"]...详细分析 ▾
ℹ 用途与能力
技能的声明目的(通过 VibePost 发布到社交媒体)与包含的脚本匹配,脚本执行向 API 发送 HTTP POST 请求。然而,端点是一个个人 Replit URL,脚本包含一个硬编码的 API 密钥,而不是声明用户提供的凭据 — 这是意外的,降低了透明度。
✓ 指令范围
SKILL.md 和脚本专注于向 VibePost 端点发布文本,不引用无关文件、系统配置或额外环境变量。脚本将发送代理提供的任何文本到外部服务,这与技能的目的一致,但如果发布敏感内容,则存在隐私风险。
✓ 安装机制
没有安装规格(仅指令加上一个小脚本)。安装步骤中没有下载或写入任何内容,在安装机制方面风险较低。
⚠ 凭证需求
技能在元数据中未请求环境变量或凭据,但脚本包含一个长的硬编码 API 密钥('quack_...')并使用它来对第三方 Replit 主机 API 进行身份验证。这种未声明的嵌入凭据与元数据不匹配,存在风险:它在不需要用户提供自己的密钥的情况下授予发布能力,并可能被滥用。
✓ 持久化与权限
该技能不是始终启用,并且不请求提升或持久的平台权限。它不修改其他技能或系统范围的设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/27
初始发布
● 可疑
安装命令 点击复制
官方npx clawhub@latest install social-poster
镜像加速npx clawhub@latest install social-poster --registry https://cn.clawhub-mirror.com
技能文档
介绍
通过 VibePost API 发布内容到社交媒体,适用于推特/X 发帖、分享更新或发布社交内容。使用方法
[保留原始使用方法,假设为]# 示例命令
social-post "您的发布内容"
注意
请确保理解安全风险,并根据cn_scan_assessment 中的建议进行操作。数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制