每日热榜 — 查询多平台热榜数据
v1.0.1每日热榜技能,支持查询微博、知乎、B站、抖音等54个平台的热榜数据,提供定时推送和分类浏览功能,帮助开发者快速获取热点信息。
4· 2,713·20 当前·20 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能主要用于聚合多平台热榜数据,但存在环境变量未声明、部署路径不匹配和推送凭证未指定等问题,安装前需谨慎检查。
评估建议
["审查代码(尤其是deploy.sh、storage.py、api_client.py和执行HTTP POST的代码)以了解Webhook/令牌的使用和存储方式。","确认并提供所需环境变量(DAILY_HOT_API_URL、DAILY_HOT_DATA_DIR等),注意注册元数据未声明这些变量。","调查部署指令:SKILL.md引用了单独的'daily-hot-api'目录和PM2,确保信任部署脚本且不执行意外命令。","在隔离环境(virtualenv)中安装Python依赖,检查代码行为后再以root运行。","若启用定时推送(飞书),明确所需凭证/Webhook并安全存储,避免依赖隐式默认值。"]...详细分析 ▾
⚠ 用途与能力
代码文件和描述与多平台聚合器(基于DailyHotApi)一致。但清单未声明所需环境变量或凭证,而SKILL.md记录了多个环境变量(DAILY_HOT_API_URL、DAILY_HOT_DATA_DIR、DAILY_HOT_AUTO_SAVE等)和功能(定时推送到飞书),这些需要配置(可能需要凭证),但未在注册元数据中声明。这种不匹配是无解释的且不成比例的。
⚠ 指令范围
运行时指令要求操作员部署本地服务(PM2 + ./deploy.sh),设置环境变量,运行pip安装,并创建/维护cron任务和本地数据(位于/root/.openclaw/workspace/skills/daily-hot-news/data/)。SKILL.md还引用了推送到飞书,但未记录所需Webhook/令牌变量。指令假设特定的绝对路径和单独的'daily-hot-api'部署目录(注意:路径使用'daily-hot-api'而技能slug为'daily-hot-news'),这不一致,可能导致意外行为或意外执行意外部署脚本。
ℹ 安装机制
提供的安装步骤通过绝对cd和python3 -m pip install,在工作空间中pip安装'requests'和'aiohttp'。这是一个常见的方法,但执行主机命令(中等风险)。没有从任意URL下载或存档提取,这减少了一些安装风险,但安装步骤假设工作空间路径,如果不使用virtualenv,可能会全局安装。
⚠ 凭证需求
技能在注册元数据中未请求任何凭证,但SKILL.md预期环境变量用于服务URL、数据目录、自动保存切换、缓存TTL,并提到推送到飞书(通常需要Webhook或令牌)。未声明外部推送/通知的所需配置,因此可能需要敏感令牌而未列出——这不成比例且意外。
ℹ 持久化与权限
技能未标记为'always',且未禁用模型调用,因此可以由模型调用。SKILL.md描述了自动保存数据和设置cron任务/PM2管理的服务用于本地DailyHotApi——这授予技能持久数据存储和定期活动。该功能对于特性是合理的,但结合未声明的凭证/配置,值得谨慎对待。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/5
新增54个平台热榜查询功能
● 无害
安装命令 点击复制
官方npx clawhub@latest install daily-hot-news
镜像加速npx clawhub@latest install daily-hot-news --registry https://cn.clawhub-mirror.com
技能文档
🎯 概述
提供 54 个热榜源 的本地化查询服务,基于 DailyHotApi 项目。 核心功能:- 📊 热榜查询
- 📋 分类浏览
- 💾 历史记录
- ⏰ 定时推送
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制