agent-Postmoore — 多平台社交媒体自动发布工具
v1.0.0自动在 Instagram、TikTok、YouTube Shorts、LinkedIn、Facebook、Threads 和 Bluesky 等平台发布、调度、上传媒体、保存草稿和管理内容。
0· 9·0 当前·0 累计
by 安全扫描
OpenClaw
安全
medium confidence该技能似乎准确实现了其声称的社交发布功能(使用 Postmoore API 密钥、上传媒体、调度帖子),没有明显的隐藏端点或额外凭证,尽管存在一些小的元数据不匹配和几个隐私注意事项。
评估建议
该技能似乎做到了它所声称的功能:需要 Postmoore API 密钥,会上传媒体文件并调用 postmoo.re 端点。安装前请注意:(1) 验证服务域名(https://postmoo.re)并确认您信任 Postmoore;(2) 如果在共享机器上,优先通过环境变量提供 API 密钥,而不是写入全局配置文件;(3) 如果使用视频功能,需安装 ffmpeg 并确认您同意代理被请求提供文件路径(该技能将读取指定的媒体文件进行上传);(4) 注意包注册表元数据省略了声明的 POSTMOORE_API_KEY/homepage — 这可能是元数据错误,但您可能需要确认发布者身份和主页;(5) 使用作用域或可撤销的 API 密钥(如果服务支持),以便在需要时可以撤销访问权限。...详细分析 ▾
ℹ 用途与能力
名称/描述、SKILL.md 和包含的 CLI 脚本都一致:这是一个用于上传和调度社交帖子的 Postmoore 客户端。所需凭证(POSTMOORE_API_KEY)和可选使用 ffmpeg 提取视频帧与声明的用途一致。轻微不一致:包元数据顶部的注册表摘要列出了所需的环境变量和主页,而 SKILL.md 声明了 POSTMOORE_API_KEY 和主页(https://postmoo.re)。这种不匹配可能是编写/注册表元数据错误,而非恶意行为。
ℹ 指令范围
SKILL.md 指示代理上传文件、调用 Postmoore API 端点,以及(对于视频)运行 ffmpeg 提取帧。包含的脚本读取/写入用户配置文件(~/.config/postmoore/config.json 和 .postmoore/config.json)来存储 API 密钥,并读取媒体文件进行上传。这些文件读写与技能的目的一致。没有指示读取无关系统文件或向文档中描述的 postmoo.re/storage 端点之外的意外外部端点发送数据。
✓ 安装机制
这是纯指令加单个 CLI 脚本;没有下载/提取任意存档或运行安装程序的安装规范。未发现高风险安装行为。
ℹ 凭证需求
该技能唯一需要的密钥是 POSTMOORE_API_KEY(在 SKILL.md 元数据中声明并在代码中使用)。代码支持从环境变量或配置文件读取密钥。这是适当的,但请注意 CLI 默认将密钥写入本地或全局配置文件(全局 ~/.config/postmoore/config.json),这在共享环境中可能是隐私风险。
✓ 持久化与权限
该技能不请求 'always: true',也不修改其他技能或全局代理设置。它仅在用户路径中持久化自己的配置(CLI 客户端的预期行为)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/15
版本 1.1.0 (Postmoore):主要文档更新和工作流程澄清。- 在 SKILL.md 中添加了 Postmoore API 的详细使用说明,涵盖设置、认证、端点和内容管理。- 包含多平台发布支持信息(Instagram、TikTok、YouTube Shorts、LinkedIn、Facebook、Threads、Bluesky)。- 记录了视频内容创建和调度的推荐工作流程。- 概述了每个平台发布结果的最佳实践和故障排除技巧。- 指定了所需的环境变量和二进制依赖项(POSTMOORE_API_KEY、ffmpeg)。
● 无害
安装命令
点击复制官方npx clawhub@latest install agent-postmoore
镜像加速npx clawhub@latest install agent-postmoore --registry https://cn.longxiaskill.com 镜像可用
技能文档
(注:用户未提供 SKILL.md 文档内容,无法翻译。)