by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了百度搜索代理,但发布的元数据未列出所需的 Turing 凭据,而运行时从特定配置文件加载令牌 — 这种不一致和配置访问方式令人担忧。
评估建议
虽然该技能的代码和 README 正确调用了 Turing 百度代理并需要三个 Turing 凭据,但注册元数据错误地列出了无需凭据 — 这种不一致是主要红旗。安装前,请验证技能所有者/来源、确认存储 TURING_API_KEY/CLIENT/ENV 的位置(脚本从 ~/.openclaw/openclaw.json 读取)、确保令牌的范围和可撤销性。考虑先使用有限范围的测试密钥在沙盒中测试。如果依赖注册条目,请要求发布者更正宣布的所需环境变量以使权限明确。如果不信任所有者,请不要提供生产凭据。...详细分析 ▾
⚠ 用途与能力
SKILL.md 和 scripts.py 都需要 TURING_API_KEY、TURING_CLIENT 和 TURING_ENVIRONMENT,并调用 Turing 百度代理端点 — 这与声明的用途相符。然而,注册元数据(顶级要求)未列出所需的环境变量或主要凭据,导致技能实际需要和注册宣布的内容不一致。
ℹ 指令范围
运行时指令范围较窄:使用 JSON 参数运行捆绑脚本,并通过 openclaw.json 提供 Turing 凭据。脚本仅从 ~/.openclaw/openclaw.json 读取其配置,并向声明的 Turing 代理端点发送 HTTP POST 请求。它不访问其他系统文件或网络端点。唯一的范围异常是 SKILL.md 说“不要手动构造 HTTP 请求”并强制使用捆绑脚本 — 合理但限制性。
✓ 安装机制
无安装规格或远程下载;该技能是指令 + 小型本地 Python 脚本。没有外部安装程序或存档提取,这是低风险的。
⚠ 凭证需求
SKILL.md 和 scripts.py 中请求的凭据(TURING_API_KEY、TURING_CLIENT、TURING_ENVIRONMENT、可选 TURING_API_BASE)与代理搜索 API 成比例。由于注册元数据未声明这些所需凭据,而脚本预期在 ~/.openclaw/openclaw.json 中找到它们(而不是或除了进程环境),这可能会让用户感到惊讶并导致秘密被误放。未请求无关秘密。
✓ 持久化与权限
默认 always:false,该技能不修改其他技能或系统范围设置。自主调用(disable-model-invocation:false)是平台默认设置;结合凭据访问,这会增加影响范围,但对于网页搜索技能是预期的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/13
通过 Turing 百度代理发布百度网页搜索技能。 - 启用中文网页搜索,提供最新的百度结果。 - 使用附带的脚本进行所有 API 交互;无需手动 HTTP 请求。 - 支持搜索查询、可调节的结果数、和新鲜度过滤器(周、月、半年、年)。 - 返回包含标题、URL、片段、日期和类型的结果。 - 需要 TURING_API_KEY、TURING_CLIENT 和 TURING_ENVIRONMENT 进行配置。
● 无害
安装命令 点击复制
官方npx clawhub@latest install turing-baidu-web-search
镜像加速npx clawhub@latest install turing-baidu-web-search --registry https://cn.clawhub-mirror.com
技能文档
通过 Turing 百度代理搜索中文网页。适用于查找中文实时信息、研究中国事件或获取最新的百度搜索数据。运行捆绑脚本(不手动构造 HTTP 请求)。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制