by 安全扫描
OpenClaw
安全
medium confidence该技能内部逻辑一致,使用 github-discover CLI 获取 GitHub 趋势数据,但假设安装第三方 npm 包(github-discover),并未提供 GitHub 认证/速率限制和包来源指导。
评估建议
该技能逻辑清晰,使用 github-discover CLI 生成报告。安装或使用前,请验证 npm 包:检查包页面(npm view github-discover 仓库、主页和维护者),审查源代码/仓库,确认来自可信作者。注意全局 npm 安装会在系统上运行第三方代码——如果需要隔离,考虑在容器或 VM 中安装。另外,SKILL.md 未提及 GitHub 认证或速率限制;如果计划频繁查询,请设置 GITHUB_TOKEN 并检查 CLI 文档以配置它。若需更高信心,请提供 github-discover 包仓库或主页 URL 以验证来源。...详细分析 ▾
✓ 用途与能力
名称/描述与运行时指令匹配:SKILL.md 告诉代理调用 github-discover CLI 生成趋势、流行和主题报告。要求 Node.js 和 npm 安装的 CLI 对于此目的是合理的。
ℹ 指令范围
指令限制代理检查 CLI、运行三个 github-discover 命令,并将其 JSON 输出合并为报告——所有都在声明的目的内。文档未提及 GitHub 认证或速率限制(例如 GITHUB_TOKEN),这可能对于更重的使用是必要的;这种疏漏可能导致故障或意外的网络行为,但本身并不不合理。
ℹ 安装机制
这是一个指令仅的技能(注册表中无安装规格),但 SKILL.md 指示用户运行 `npm install -g github-discover`。安装全局 npm 包会执行 npm 注册表中的代码——这是一个正常的选择,但如果包来源未知,则存在中等程度的操作风险。该技能本身不自动执行任何安装。
ℹ 凭证需求
注册表声明没有所需的环境变量或凭证,这与高级描述一致。然而,CLI 可能调用 GitHub 搜索 API;对于更大的工作负载或避免低未经认证的速率限制,CLI 或 API 调用可能需要或受益于 GITHUB_TOKEN。SKILL.md 未记录此内容或任何与凭证相关的环境变量。
✓ 持久化与权限
该技能不请求持久存在(always:false),不声明任何配置路径,并不尝试修改代理/系统设置。它仅可由用户调用,这对于报告生成的 CLI 包装器是合适的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/13
移除了 `GITHUB_TOKEN` 环境变量的要求;功能和工作流无变化,仅文档更新以提高对先决条件的清晰度。
● 无害
安装命令 点击复制
官方npx clawhub@latest install github-trending-report
镜像加速npx clawhub@latest install github-trending-report --registry https://cn.clawhub-mirror.com
技能文档
简介
该技能使用github-discover CLI 获取和生成 GitHub 最快增长仓库、最新流行项目和热门主题标签的结构化报告。用法
- 安装
github-discover:npm install -g github-discover - 运行技能以生成报告
注意
- 对于频繁查询,请设置
GITHUB_TOKEN以避免速率限制。 - 该技能不自动安装
github-discover,请手动安装。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制