by 安全扫描
OpenClaw
可疑
medium confidence代码实现了12306票务自动化客户端,但技能元数据和SKILL.md遗漏了必需的环境变量和安装/运行依赖,文档不完整,引发了协调性和部署担忧。
评估建议
["确认技能作者提供安装规范(要求和Playwright/Chromium设置)和.env.example解释必需环境变量。","将RAILWAY_12306_USERNAME和RAILWAY_12306_PASSWORD视为敏感信息:不要在非控制环境中放置真实凭据。","代码将写入会话cookie到12306_cookies.json,检查或保护该文件。","在沙盒环境(VM/容器)中运行代码,并审查/验证超出https://www.12306.cn的网络调用。","如果作者更新清单声明必需环境变量并提供清晰的安装和运行文档,协调性担忧将得到解决;否则,避免使用真实凭据。"]...详细分析 ▾
⚠ 用途与能力
代码与描述匹配:包实现了12306浏览器自动化客户端(登录、票务搜索)。然而,注册元数据和SKILL.md声称没有必需的环境变量或二进制文件,但代码读取RAILWAY_12306_USERNAME/RAILWAY_12306_PASSWORD并依赖Playwright/Chromium——声明的要求和实际能力之间的不一致。
⚠ 指令范围
SKILL.md是自动生成的且内容稀薄(没有用法示例,引用了一个不存在的.env.example)。运行时代码读取/写入本地cookie文件(12306_cookies.json)并将通过Playwright启动Chromium浏览器访问https://www.12306.cn。指令没有记录这些行为或持久数据存储位置。
⚠ 安装机制
没有安装规范,但代码需要Python Playwright包和Chromium运行时;如果这些不在,则技能将失败。缺少安装指令是操作和供应链上的疏漏(不是恶意的证据,但风险高且不协调)。
⚠ 凭证需求
代码期待RAILWAY_12306_USERNAME和RAILWAY_12306_PASSWORD环境变量(用于登录),但清单没有列出必需的环境变量。对于登录客户端,请求这些凭据是合理的,但元数据中的遗漏和缺乏关于安全处理/持久性(本地保存cookie文件)的指导是危险信号。
✓ 持久化与权限
技能不设置always:true,不修改其他技能,只在工作目录中写入本地cookie文件(12306_cookies.json)。调用时将自主启动浏览器,这是浏览器自动化的预期行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/14
["发布12306-old技能的初始版本。","添加了核心客户端脚本(12306_client.py)和登录脚本。","包括README、SKILL.md和环境元数据文件。","提供了基本验证的初始测试脚本。"]
● 无害
安装命令 点击复制
官方npx clawhub@latest install 12306-old
镜像加速npx clawhub@latest install 12306-old --registry https://cn.clawhub-mirror.com
技能文档
描述
12306 技能包 - general 类工具功能
- 12306_client.py
- scripts/login.py
使用方法
# 示例用法
# 待补充
配置
查看.env.example 文件了解所需环境变量。脚本
- 12306_client.py
- scripts/login.py
测试
# 运行测试
# 待补充
备注
此文档由脚本自动生成,请根据实际情况补充完善。*最后更新:2026-03-08T20:15:05.855845
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制