by 安全扫描
OpenClaw
安全
high confidence技能文件和指令与浏览器自动化工具一致:模板和文档描述了导航、快照、会话保存/加载、代理使用和爬取模式,符合所述目的。
评估建议
此技能看似适合网页自动化,但使用前请审查并谨慎:1) 运行前检查模板脚本 — 它们读写本地会话状态文件(auth-state.json),包含cookie/令牌;2) 自动化登录时,优先使用临时凭证或CI秘密;3) 代理和爬取示例可能被滥用 — 确保符合目标网站的服务条款和法律/监管约束;4) 如果计划让代理自主运行,考虑限制其访问的凭证或状态文件。...详细分析 ▾
✓ 用途与能力
名称/描述与包含的SKILL.md、参考文档和三个Bash模板一致 — 所有描述了浏览器导航、表单自动化、截屏、录制、会话持久性和代理支持,适合浏览器自动化工具。
ℹ 指令范围
指令和模板执行预期的浏览器自动化操作(打开、快照、点击、会话保存/加载、截屏、录制)。它们还展示了保存/加载会话状态文件和使用代理的模式。SKILL.md中没有指令让代理读取无关系统文件或发送数据到未知外部端点,但模板故意读写本地状态文件(如 ./auth-state.json, /tmp)并引用未声明的环境变量(HTTP_PROXY, HTTPS_PROXY, APP_USERNAME, APP_PASSWORD),这些对于认证和代理流是预期的,但是在运行前用户应该审查这些敏感操作。
✓ 安装机制
无安装规格(仅指令和模板脚本) — 技能不下载或安装外部代码。这是最低风险的安装姿态。
ℹ 凭证需求
技能不需要声明环境变量,但文档和模板推荐并使用常见环境变量(HTTP_PROXY, HTTPS_PROXY, ALL_PROXY),并建议使用APP_USERNAME/APP_PASSWORD并保存会话状态文件。运行时请求这些值与任务成比例,但它们是敏感的,技能没有正式声明 — 用户应该避免提交保存的会话文件或在模板中嵌入秘密。
✓ 持久化与权限
always:false,无系统范围配置更改。模板在本地持久化会话状态(会话文件),这是重用已认证会话的标准做法;没有尝试修改其他技能或全局代理配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.8.62026/2/1
添加了全面SKILL.md使用指南,包括详细命令解释和示例;记录了浏览器导航、交互、自动化和信息提取的工作流;包含了视频录制、语义定位器、网络拦截和浏览器设置自定义的高级功能指令;阐明了元素引用和替代语义选择器的使用;概述了标签、窗口、框架、对话框、cookie、存储和全局选项的管理。
● 可疑
安装命令
点击复制官方npx clawhub@latest install agent-browser-tekken
镜像加速npx clawhub@latest install agent-browser-tekken --registry https://cn.longxiaskill.com
技能文档
请参见原始SKILL.md(由于保留原始代码块和指令,未进行中文翻译)