by 安全扫描
OpenClaw
安全
medium confidence该技能的代码和运行指令与其声明的目的一致(使用 API 密钥与 SocialRails API 交互),文件中未发现与目的无关的访问或数据泄漏,但包来源未知,使用前请验证。
评估建议
该技能似乎如其所言:从 ~/.openclaw/openclaw.json 读取 SocialRails API 密钥,调用 https://socialrails.com/api/v1(或配置的 baseUrl)。安装前:1) 确认信任 SocialRails 服务和技能源;2) 创建仅限必要范围(读/写/AI)的 API 密钥;3) 不要重用其他地方的凭据;4) 如果可能,自行检查代码(index.js);5) 注意元数据小问题:所需秘密存储在 OpenClaw 配置中,而不是作为注册表列出的环境变量。...详细分析 ▾
✓ 用途与能力
名称/描述(通过 SocialRails 管理社交媒体)与代码和 skill.json 匹配:所有命令调用 SocialRails API 并需要 API 密钥。支持的平台和操作与声明的功能一致。
✓ 指令范围
SKILL.md 指示在 ~/.openclaw/openclaw.json 存储 apiKey 并使用 OpenClaw 配置命令。运行时代码仅读取该配置文件并调用 SocialRails API;不读取其他系统文件、环境秘密或向无关端点发送数据。
✓ 安装机制
没有安装规格(仅指令加小代码包)。不使用下载或存档提取。该包是一个小的 Node 模块,无依赖。
ℹ 凭证需求
该技能需要 API 密钥(在 skill.json 中声明并由代码使用),存储在 OpenClaw 配置文件中,而不是环境变量。注册表元数据显示没有必需的环境变量,这是一个小的元数据不匹配,但无害;API 密钥是唯一使用的秘密,与功能成比例。
✓ 持久化与权限
该技能未标记为 always:true,不修改其他技能或系统范围设置。仅读取其自身的配置文件(位于 ~/.openclaw)并对配置的 baseUrl 执行网络请求。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/4
SocialRails 技能初始发布。- 通过聊天命令跨主要平台安排、列出和管理社交媒体帖子- 查看分析并为帖子生成 AI 驱动内容- 列出已连接账户- 通过 OpenClaw 实现易用的 API 设置和配置- 支持 Twitter、LinkedIn、Facebook、Instagram、TikTok、Bluesky、Pinterest、Threads 和 YouTube
● 无害
安装命令 点击复制
官方npx clawhub@latest install socialrails
镜像加速npx clawhub@latest install socialrails --registry https://cn.clawhub-mirror.com
技能文档
简介
该技能通过 SocialRails API 管理社交媒体,功能包括预排帖子、查看分析报告、生成 AI 标题和列出已连接账户。使用指南
- 在 ~/.openclaw/openclaw.json 中存储 API 密钥
- 使用 OpenClaw 配置命令
支持平台
- TikTok
- Bluesky
- Threads
- YouTube
# 代码块(保持不变)
// 示例代码,不翻译
const apiCall = async () => {
// API 调用逻辑
}
命令行指令(保持不变)
# 示例指令,不翻译
openclaw config --apiKey YOUR_API_KEY
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制