by 安全扫描
OpenClaw
可疑
medium confidence技能指令与目的相符,但未声明 API 密钥要求,并将发送爬取页面到外部服务,存在隐私/凭证不匹配,需注意。
评估建议
["使用前,认识到该技能会将完整爬取页面发送到 getpost.dev,不应发送 PII、秘密或私有网页,除非信任该服务。","技能文档需要 API 密钥,但元数据未声明,应安全存储在代理的秘密存储中,并验证密钥使用位置。","技能源和主页未知,如果用于生产,应验证服务所有者、阅读其隐私条款、检查限速/成本(文档提到“每次爬取 5 个信用”),并考虑创建最小权限账户。","如果需要离线或完全控制的爬取,应偏好本地无头浏览器工具而非第三方托管 API。"]...详细分析 ▾
✓ 用途与能力
名称和描述描述了一个网页爬取助手,SKILL.md 提供了使用 getpost.dev 的爬取 API 的 curl 示例 — 请求的能力与声明的目的相符。
ℹ 指令范围
指令仅限于调用 getpost.dev 端点以注册和执行爬取。然而,运行时行为将传输目标页面(及其内容)到第三方服务;对于托管的爬取 API 来说这是预期的,但这是用户应了解的隐私考虑。
✓ 安装机制
这是一个仅指令的技能,没有安装规格或代码文件,因此不会写入代码到磁盘或获取可执行文件。这样降低了安装风险。
⚠ 凭证需求
SKILL.md 需要 API 密钥(Authorization: Bearer gp_live_...),但注册元数据未列出任何必需的环境变量或主要凭证。这是一种不一致:代理将需要持有/存储 API 密钥,但技能未声明它。另外,使用技能意味着将页面内容发送到外部域(getpost.dev),如果未意图,这可能会暴露敏感数据。
✓ 持久化与权限
技能不是强制始终启用且可由用户调用;它不请求持久系统权限或对其他技能的修改。默认允许自主调用,但这里未与高权限结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/19
GetPost Web 爬取 API 初始发布:- 使用无头浏览器爬取任意网页。- 支持文本提取、截屏和等待特定元素。- 提供简单 API 认证和使用指南。- 具有可自定义的爬取输出选项。- 包含指向完整 API 文档的链接。
● Pending
安装命令 点击复制
官方npx clawhub@latest install getpost-scrape
镜像加速npx clawhub@latest install getpost-scrape --registry https://cn.clawhub-mirror.com
技能文档
简介
使用无头浏览器爬取任意网页,支持文本提取和截屏。用法
- 获取 API 密钥
- 使用
curl示例调用 API
选项
- 文本提取
- 截屏
- 等待特定元素
链接
完整 API 文档# 原始 YAML frontmatter 保留不翻译 ...(保持原有不翻译部分)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制