by 安全扫描
OpenClaw
可疑
high confidence该技能功能与描述相符(加密市场+情绪分析),但代码未在元数据中声明却读取 .env 环境变量,需多个 LLM/新闻 API 密钥,并记录密钥存在信息,元数据不一致与访问机密行为令人担忧。
评估建议
安装前请考虑:
- 元数据不匹配:注册表未列出所需环境变量,但代码期望并使用 LLM API 密钥(GROQ_API_KEY、ANTHROPIC_API_KEY、GOOGLE_API_KEY)与 TAVILY_API_KEY。在确认所需密钥前,请勿提供生产机密。
- .env 加载:代码显式加载 ../.env,会读取其中任何机密;避免共享包含无关凭据的 .env,最好在一次性/沙盒环境中运行。
- 网络调用:代理将调用外部服务(CoinGecko、Tavily、LLM 提供商 API)。确认您信任这些端点以及所发送数据(新闻文本、代币名称及日志)的隐私。
- 日志记录:代码会记录 API 密钥存在与提供商名称;日志可能暴露密钥元数据。在生产运行前考虑移除或脱敏此类日志。
- 依赖项:安装时将从 npm 拉取包(openai、@anthropic-ai/sdk、dotenv)。审计依赖项或在隔离环境中安装。
- 提示行为:该技能强制对 LLM 使用严格 JSON 系统提示,这属于结构化输出常见做法,但可能被滥用;请查看 analyzer.ts 中的系统提示,确保其不会请求数据外泄或覆...详细分析 ▾
⚠ 用途与能力
代码、README 与 package.json 显示代理合法需要 LLM API 密钥(GROQ_API_KEY、ANTHROPIC_API_KEY、GOOGLE_API_KEY)与 Tavily API 密钥用于新闻——这与情绪分析代理一致。然而注册表元数据声称无需环境变量,而源码却加载 .env 并期望这些密钥。声明需求与实际代码之间的不匹配属于不一致,应在信任该技能前解决。
⚠ 指令范围
SKILL.md 内容极少,但所含代码(fetcher/analyzer/llm 适配器)指示运行时行为:加载 ../.env、调用外部 API(CoinGecko、Tavily)与 LLM 服务,并对 LLM 输出强制严格系统提示。代码直接读取 .env 文件(可能访问其中任何机密)并记录 API 密钥存在。因此运行时指令超出了 SKILL.md 前言与元数据中的可见范围。
ℹ 安装机制
注册表元数据中无正式安装规范(仅指令),但 package.json 与 package-lock.json 指明 npm 依赖(@anthropic-ai/sdk、openai、dotenv)。安装时将从公共 npm 仓库拉包(中等风险)。未发现外部任意下载 URL 或归档解压行为。
⚠ 凭证需求
代码需要多个机密 API 密钥(视提供商选择而定:GROQ_API_KEY、TAVILY_API_KEY、ANTHROPIC_API_KEY、GOOGLE_API_KEY)。这些密钥对使用 LLM 与新闻服务而言属合理,但该技能:(a) 未在元数据中声明所需环境变量,(b) 自动加载 ../.env(可能含其他无关机密),(c) 记录 API 密钥存在——增加意外泄露风险。技能还会将 LLM_PROVIDER 与 API 密钥存在信息打印至 stdout,可能出现在日志中。
✓ 持久化与权限
always 为 false;该技能不请求持久平台级权限或修改其他技能。它未声明或需要 'always: true',也未尝试在自身代码外更改代理/系统配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/7
- package.json 中依赖版本更新,以提升稳定性与兼容性。 - 核心功能或文档无变更。
● 无害
安装命令
点击复制官方npx clawhub@latest install agent-crypto-lens
镜像加速npx clawhub@latest install agent-crypto-lens --registry https://cn.longxiaskill.com
技能文档
无 SKILL.md 内容提供