🦅 Falcon — Twitter/X 搜索与交互工具
v1.0.0Falcon 通过 TwexAPI 实现 Twitter/X 的搜索、阅读和交互功能,支持用户资料、推文、回复、关注者、趋势话题的查看,以及发布推文、回复、点赞、转发、收藏、关注和取消关注(需用户确认)
0· 905·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
medium confidence代码与声明的 Twitter/X 功能匹配,但脚本要求将 Twitter 认证 cookie 发送到第三方 API,而此 cookie 未在元数据中声明为必需凭证,这一不匹配和敏感 cookie 传输是需要审查的红旗
评估建议
["安装/使用前检查事项:","了解传输内容:Falcon 脚本将 TWITTER_COOKIE 发送到 api.twexapi.io 用于写操作/互动,应将其视为密码","要求作者修复元数据:TWITTER_COOKIE 未在 requires.env 中声明","考虑作用域限制:仅需读取/搜索时,避免设置 TWITTER_COOKIE,仅使用 TWEXAPI_KEY 并限制为只读命令","验证对 TwexAPI 的信任:审查 TwexAPI 的隐私/安全文档,确认服务的合法性,优先使用委托 OAuth 令牌或官方 API 方法","如果必须提供 cookie,考虑使用测试账号","自行检查 falcon.sh 脚本(或在安全环境中运行)","可选:请求维护者修改设计以避免发送 cookie(使用 TwexAPI 管理的 OAuth 或服务器端身份验证)并更新 SKILL.md 和注册元数据"]...详细分析 ▾
✓ 用途与能力
名称/描述与实现一致:脚本调用 TwexAPI 基础 URL 实现 Twitter/X 的读取/搜索和写操作/互动,所需二进制文件(curl、jq)适合 CLI 实现
⚠ 指令范围
SKILL.md 和 falcon.sh 指示代理通过 TwexAPI 执行读写操作,并明确要求为写操作/互动提供 TWITTER_COOKIE。指令还指出在写操作前确认用户(良好),但允许将用户的 Twitter cookie 发送到外部 TwexAPI 服务——这会传输敏感凭证到本地机器外。另外,TWITTER_COOKIE 在运行时指令中被引用,但未在技能元数据的 requires.env 中声明(不一致)
✓ 安装机制
未提供安装规格(仅指令风格)。包含脚本文件,但安装过程中无下载或提取操作,因此无高风险远程安装机制
⚠ 凭证需求
元数据仅声明 TWEXAPI_KEY 为必需,但脚本对于任何写操作需要 TWITTER_COOKIE,并将该 cookie 包含在发送到 api.twexapi.io 的 POST 请求体中。请求完整账号 cookie 是高敏感操作:它可以授予账号访问权限,并被发送到第三方。元数据不匹配(未声明 TWITTER_COOKIE)使得请求的访问对用户不透明
✓ 持久化与权限
技能未请求 always: true,并不修改其他技能或系统设置。disable-model-invocation 为 false(正常)。未请求过度持久性或特权平台存在
安全有层次,运行前请审查代码。
运行时依赖
🖥️ OSmacOS · Linux
版本
latestv1.0.02026/2/10
Falcon 初始发布,通过 TwexAPI 与 Twitter/X 交互 - 支持搜索、读取 Twitter/X 账号和推文 - 支持用户资料、推文、回复、关注者、趋势话题的查看 - 支持发布推文、回复、点赞、转发、收藏、关注和取消关注(需确认) - 使用环境变量 для API 密钥和 cookie 身份验证 - 需要 curl 和 jq 二进制文件,兼容 macOS 和 Linux
● 无害
安装命令 点击复制
官方npx clawhub@latest install falcon
镜像加速npx clawhub@latest install falcon --registry https://cn.clawhub-mirror.com
技能文档
Falcon
使用 Falcon 读取、搜索和与 Twitter/X 交互
快速开始
falcon 检查
falcon 用户 elonmusk
falcon 推文 elonmusk 5
falcon 读取
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制