首页 / 技能 / AI Daily Brief XHS — AI 每日简报

📦 AI Daily Brief XHS — AI 每日简报

v1.0.0

AI 每日简报 - 聚合全球 AI 行业新闻、公司动态、产品发布和学术论文的每日摘要技能

0· 3·0 当前·0 累计
seeu1688 头像by @seeu1688 (Seagle)·MIT-0
AI模型访问学习教育
下载技能包
License
MIT-0
最后更新
2026/4/16
0
安全扫描
VirusTotal
无害
查看报告
OpenClaw
可疑
medium confidence
该技能声称的目的是每日的AI新闻简报,这是合理的,但存在不一致和风险行为——特别是未声明的必需API密钥、硬编码的绝对路径执行另一个技能的脚本,以及检测到的提示注入模式——在安装前需要谨慎。
评估建议
安装前检查项:1) 元数据与实际不符:包元数据声明无必需环境变量,但SKILL.md/README要求TAVILY_API_KEY(必需)和BOCHA_API_KEY(推荐)。确认注册表元数据已更新,且仅提供您信任的API密钥。2) 检查Tavily脚本:该技能通过execSync执行位于/home/admin/.openclaw/workspace/skills/tavily-search/scripts/search.mjs的脚本。安装前,审查tavily-search脚本的完整源代码(及其他引用的脚本),确保它们不会执行意外的I/O、凭证泄露或任意网络调用。3) 提示注入痕迹:预扫描标记了SKILL.md中的Unicode控制字符。打开原始SKILL.md移除/检查隐藏字符;它们可用于操纵下游解析器或提示。4) 限制凭证并沙箱运行:如继续安装,提供最小范围的API密钥(可轮换/撤销)并在受限环境或沙箱中运行技能。避免使用生产/特权密钥。5) 调度与推送:meta.json暗示定时推送(如飞书)。确保任何推送/投递目标是故意配置的,且技能没有推送到您未授权频道的权限。6) 如有疑问...
详细分析 ▾
用途与能力
该技能声称聚合AI新闻(合理)。然而SKILL.md和README说需要TAVILY_API_KEY(必需)和BOCHA_API_KEY(推荐),而注册表元数据列出无必需环境变量——这是明确的 mismatch。代码执行位于/home/admin/.openclaw/workspace/skills/tavily-search/scripts/search.mjs绝对路径下的Tavily搜索脚本,因此该技能依赖另一个平台技能的存在;这种跨技能执行不寻常,应予以说明。
指令范围
运行时指令和包含的脚本执行搜索和格式化结果(预期)。但它们通过绝对路径调用其他技能的脚本并使用child_process.execSync运行它们,这意味着该技能将执行其自身文件之外的代码。SKILL.md还包含在Authorization头中包含BOCHA_API_KEY的curl示例。指令不读取无关的本地文件,但绝对路径使用和执行其他脚本的能力将运行时范围扩展到简单的获取/格式化任务之外。
安装机制
没有外部安装规范或第三方下载;该技能仅是指令+包含的JS文件。未发现可疑的远程下载URL或归档提取。这降低了安装风险,但存在调用其他磁盘上技能脚本的可执行脚本仍是需要审查的运行时风险。
凭证需求
SKILL.md和README要求TAVILY_API_KEY(必需)和BOCHA_API_KEY(推荐),但注册表元数据显示无必需环境变量。为此目的要求搜索API密钥是合理的,但元数据不匹配是有问题的。此外,curl示例将在Authorization头中发送BOCHA_API_KEY——如果您提供密钥,该技能会将它们传输到外部搜索服务。凭证数量少且与任务成比例,但必须在元数据中声明和说明。
持久化与权限
always为false(无强制永久包含)。脚本将输出写入/tmp,meta.json暗示定时cron式运行;调度对于每日简报本身是预期的。然而,由于该技能可被自主调用并通过绝对路径执行其他磁盘上的技能脚本,其影响范围比纯只读新闻获取技能更大——结合环境变量传输,结果是更高的运营风险。它似乎不会修改其他技能的配置。
scripts/daily-brief.mjs:26
检测到Shell命令执行(child_process)。
scripts/search-tavily.mjs:26
检测到Shell命令执行(child_process)。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/4/16

AI 每日简报技能初始版本发布:- 提供全球权威来源的重大AI行业新闻、高管声明、产品发布和学术论文的简洁每日摘要。- 聚焦结构化、分类输出,便于快速浏览:大公司新闻、行业领袖评论、科技产品和精选论文。- 仅汇总过去24小时最重要的进展,最小化信息过载。- 支持使用Tavily、博查和SearXNG的备用搜索策略,确保可靠的新闻采集。- 输出中文简报,包含来源链接和关键亮点。

无害

安装命令

点击复制
官方npx clawhub@latest install ai-daily-xhs
镜像加速npx clawhub@latest install ai-daily-xhs --registry https://cn.longxiaskill.com

技能文档

(用户未提供SKILL.md内容,此字段留空)

数据来源ClawHub ↗ · 中文优化:龙虾技能库