by 安全扫描
OpenClaw
可疑
medium confidence该技能描述承诺全面的浏览器自动化功能,但提供的代码仅查询Chrome本地调试端口并打印WebSocket URL,实施不当,使用需谨慎。
评估建议
该包非恶意但不一致:宣传全自动化功能(Playwright、抓取、截图)而代码仅发现Chrome调试WebSocket URL并打印。使用前:(1)要求发布者提供完整实现或变更日志;(2)检查未来自动化代码;(3)测试时使用可丢弃Chrome配置文件;(4)优先选择包含明确依赖和功能代码的版本。...详细分析 ▾
⚠ 用途与能力
名称/描述和_meta.json宣传广泛的自动化功能,但唯一的运行时代码仅调用Chrome调试端口,获取并打印WebSocket URL,不执行导航、抓取、表单提交、截图或Playwright操作。宣称能力与实际代码不符,差异巨大且无解释。
ℹ 指令范围
SKILL.md 指导用户启动Chrome并运行Node脚本,指令范围内。指令不要求访问无关文件、环境变量或传输外部数据,但SKILL.md暗示了不现存的高级运行时行为。
✓ 安装机制
无安装规格(仅指令和小脚本)。没有下载或安装器写入的内容,降低了供应链风险。脚本预计Node.js可用,与指令一致。
ℹ 凭证需求
该技能不请求环境变量或凭证,比例合理。注意:Chrome远程调试可能暴露浏览器控制和会话数据,如果端口对其他主机开放。虽然该技能仅查询localhost,但如果端口暴露给网络,运行Chrome远程调试可能风险高,这与环境变量滥用是独立的操作风险。
✓ 持久化与权限
该技能不总是启用,没有特殊持久性或权限,不修改其他技能或系统设置。默认允许自主调用,但这里不提升,应视为正常。
安装前注意事项
- 向发布者询问完整实现或变更日志,解释为什么宣称的功能缺失;
- 检查任何未来或更新的自动化代码实现 — 浏览器自动化可以用于数据泄露如果技能发出CDP命令;
- 测试时,使用可丢弃的Chrome配置文件,确保--remote-debugging-port仅绑定到localhost(不要暴露给网络);
- 优先选择包含明确依赖和功能代码的版本(或如果不匹配不可接受则删除技能)。如果需要真正的自动化,请请求或验证一个执行导航/操作并列出所需依赖(如Playwright)的实现,以便您可以查看这些文件。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/21
修复:补充Chrome CDP连接代码
● 无害
安装命令 点击复制
官方npx clawhub@latest install web-automation-helper
镜像加速npx clawhub@latest install web-automation-helper --registry https://cn.clawhub-mirror.com
技能文档
快速开始
# 1. 启动Chrome远程调试
chrome.exe --remote-debugging-port=9222
# 2. 运行示例
node scripts/cdp-helper.js --url https://example.com
目录结构
web-automation-helper/
├── SKILL.md
├── README.md
├── scripts/
│ └── cdp-helper.js
主要功能
- 网页截图
- 数据抓取
- 表单填写
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制