by 安全扫描
OpenClaw
可疑
medium confidence此指令式技能封装了外部研究服务(mcp.exa.ai),内部逻辑一致,但SKILL.md不详,发布者未知,可能导致代理发送用户数据到外部端点而无明确防护。
评估建议
安装前考虑:(1)技能将与外部域(https://mcp.exa.ai)交互——询问发布者发送的数据和保护方式。(2)SKILL.md不详,无主页或作者信息——请求源码、API文档或隐私/安全声明。(3)在验证行为前,避免授予敏感上下文访问权限。(4)若继续,限制其使用,禁用可能的自主调用,并在隔离环境中测试。若无法验证发布者或数据处理,则不要在敏感环境中安装。...详细分析 ▾
ℹ 用途与能力
该技能声称封装mcp.exa.ai的MCP服务用于搜索和研究工具——此目的与列出的工具名称(web_search_exa、deep_search_exa、linkedin_search_exa、crawling_exa等)一致。然而,没有描述、主页或发布者信息来验证意图或来源。
⚠ 指令范围
SKILL.md最小且开放式:仅列出外部服务和工具名称,不提供有关发送的数据、如何认证或隐私控制的指导。这种模糊性赋予了代理广泛的自由裁量权,可能导致在没有明确限制的情况下将敏感上下文或文件发送到外部域(mcp.exa.ai)。
✓ 安装机制
没有安装规格和代码文件提供(仅指令),因此安装步骤不会将任何内容写入磁盘。这降低了一些风险。
✓ 凭证需求
该技能未声明任何必需的环境变量或凭证,这与仅指令的封装是成比例的。注意:一些列出的工具(例如linkedin_search_exa、crawling_exa)在其他实现中可能需要凭证;这里没有请求任何凭证,但明确认证细节的缺失是另一项缺失文档的迹象。
✓ 持久化与权限
always为false,技能是用户可调用;它不请求持久权限,也不修改代理/系统范围的设置。
安装前注意事项
- 该技能将与外部域(https://mcp.exa.ai)交互——请向发布者询问发送的数据和保护方式。
- SKILL.md不详,无主页或作者信息——请请求源码、API文档或隐私/安全声明。
- 在验证行为前,避免授予敏感上下文(机密、私有文件、企业数据)访问权限。
- 若继续使用,请限制其使用,禁用可能的自主调用,并在隔离环境中测试。若无法验证发布者或数据处理,则不要在敏感环境中安装。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/26
mcp-skill初始发布。- 为https://mcp.exa.ai/mcp的MCP工具提供封装。- 包括网络搜索、深度研究、代码上下文、网络爬虫、公司研究和LinkedIn搜索工具。
● 无害
安装命令 点击复制
官方npx clawhub@latest install mcp-skill
镜像加速npx clawhub@latest install mcp-skill --registry https://cn.clawhub-mirror.com
技能文档
此技能封装了 https://mcp.exa.ai/mcp 的MCP,用于各种工具,如网络搜索、深度研究等。
包含工具
- web_search_exa
- web_search_advanced_exa
- get_code_context_exa
- deep_search_exa
- crawling_exa
- company_research_exa
- linkedin_search_exa
- deep_researcher_start
- deep_researcher_check
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制