by 安全扫描
OpenClaw
可疑
medium confidence该技能基本符合其声明的目的(使用浏览器爬取小红书数据),但存在少量不一致和潜在的unicode控制字符提示注入信号,值得在安装前谨慎评估。
评估建议
["在纯文本编辑器中检查SKILL.md和README以寻找隐藏/unicode控制字符,发现后删除或拒绝安装。","验证'agent-browser'是否为可信的CLI(首次运行会下载Chromium),考虑在沙盒或隔离环境中首次运行。","注意README/package.json中提到的推送/多渠道功能和Pro版本这些未在fetch_hot.py中实现的功能,视为营销宣言而非实现功能。","在安全目录中使用--quiet/--output运行脚本,检查agent-browser输出解析。","如需更高保证,请从GitHub主页请求上游源/发布,确认包完整性和最近提交后再用于生产。"]...详细分析 ▾
ℹ 用途与能力
技能声明的用途与实际功能基本一致(使用浏览器爬取小红书),但README和package.json中宣传的多渠道推送、AI摘要和Pro功能(包括Telegram/微信/邮件推送、多渠道)在提供的Python代码中未实现。文件版本不一致(fetch_hot.py头部v3.0.0,package.json v3.1.0,_meta.json v2.1.0),可能是包装不精致而非恶意。
ℹ 指令范围
SKILL.md指示用户安装agent-browser并运行Python脚本;运行时指令仅限于使用agent-browser打开小红书和评估JS。无指令读取无关系统文件、收集凭证或向第三方端点传输数据。但提示注入扫描器标记了SKILL.md中的unicode控制字符(见扫描结果),这可能是尝试隐藏或修改可见指令——在信任它之前,值得手动审查SKILL.md中的不可见字符。
✓ 安装机制
注册表未提供安装规格(仅指令技能 + 本地文件)。唯一的外部组件是agent-browser(已声明),指令告诉用户安装它;agent-browser将在首次运行下载Chromium(在SKILL.md中注明)。技能包本身无任意下载URL或提取步骤。
✓ 凭证需求
该技能不请求环境变量或凭证。要求agent-browser和Python与基于浏览器的爬虫是成比例的。无声明要求无关机密或配置路径。
✓ 持久化与权限
技能不请求always:true,不修改其他技能,并且注册表规格中无安装时钩子。它作为正常的用户级脚本运行,依赖agent-browser进行浏览;未请求提升的持久性。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv3.1.02026/3/28
新增定时任务支持,优化数据存储
● Pending
安装命令 点击复制
官方npx clawhub@latest install xiaohongshu-hot-daily
镜像加速npx clawhub@latest install xiaohongshu-hot-daily --registry https://cn.clawhub-mirror.com
技能文档
使用浏览器方式获取小红书真实热门笔记数据!
✨ v3.1 新功能
- ✅ 真实数据获取
- ✅ 无需登录
- ✅ 智能分类
- ✅ 定时任务支持
- ✅ 备用方案
📦 安装
# 安装技能
npx clawhub@latest install xiaohongshu-hot-daily
# 安装依赖 (agent-browser)
npm install -g agent-browser agent-browser install
🚀 使用
# 获取 Top 10 热门笔记
python3 fetch_hot.py --top 10
# 生成摘要
python3 fetch_hot.py --top 20 --summary
# 导出 JSON
python3 fetch_hot.py --summary --output hot.json
...(中间内容与原文相同,省略)...
⚖️ 免责声明
本技能所获取的数据来自小红书公开网页内容,仅用于个人学习和技术研究目的。数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制