📦 Bird — 鸟
v1.0.0X Reader 通过 Bird 路由守护进程 CLI 接口,使用 bird 或 birdc 命令读取、搜索并发布推文或回复。
0· 7·0 当前·0 累计
by @bowen31337下载技能包
最后更新
2026/4/19
安全扫描
OpenClaw
可疑
medium confidence该技能的描述与元数据对“bird”二进制文件的理解存在冲突(路由守护进程 vs. Twitter/X 客户端),且运行时指令引用了浏览器 cookie 和未声明的 SWEETISTICS_API_KEY——在信任此技能前,请先验证实际 CLI 及其访问的数据。
评估建议
在确认系统上的“bird”究竟是什么之前,请勿安装或运行此技能。安装前:1)执行 `which bird` 和 `bird --version`(或直接检查二进制)以确认它是预期的 Twitter/X 客户端,而非 BIRD 路由守护进程;2)查看“bird”客户端源码或供应商,了解其认证方式及是否读取浏览器 cookie 存储;3)谨慎授权任何工具读取浏览器 cookie——优先使用范围受限的显式 API token;4)如必须测试,请在沙箱或隔离环境中运行 CLI,并交互式执行 `bird check` 观察其访问内容;5)向发布者询问元数据不一致问题,并要求提供所需 env 变量/路径的明确列表。由于这是纯指令型技能、无代码可供审查,上述手动检查至关重要。若无法确认“bird”二进制来源与行为,请勿安装该技能。...详细分析 ▾
⚠ 用途与能力
该技能在元数据中声称“与 Bird routing daemon CLI 对接”,但 README/SKILL.md 却描述了一个读取/发布推文的 Twitter/X 客户端。经典的“bird”BIRD 路由守护进程是网络路由工具,不会提供 Twitter 功能——这种命名/描述不一致令人困惑,可能是笔误或误导。用户应确认该技能实际依赖哪个“bird”二进制文件,以及该文件是否确实实现了所述 Twitter 功能。
⚠ 指令范围
指令要求 agent 运行 `bird` 命令进行读取/搜索/发布,并默认以浏览器 cookie 作为身份来源。虽未给出具体文件路径,但使用浏览器 cookie 意味着会读取本地浏览器 cookie 存储(敏感)。SKILL.md 未说明 `bird check` 的具体行为,也未详述 cookie 的访问方式。由于 agent 将运行可能读取本地凭据/cookie 的外部 CLI,其范围已超出单纯 API 调用,需进一步验证。
✓ 安装机制
这是一个仅提供指令的技能,没有安装规范,也不包含任何代码文件,因此技能本身不会写入或安装任何内容。这降低了隐藏安装程序带来的风险,但也意味着其行为完全取决于主机上已有的“bird”二进制文件。
⚠ 凭证需求
该技能在注册元数据中未声明所需环境变量,但 SKILL.md 却提到使用 SWEETISTICS_API_KEY 的外部认证选项及 auth engine 标志。声明需求(无)与引用凭据之间存在不一致。此外,隐式使用浏览器 cookie 作为认证意味着可访问未声明的敏感本地数据。
✓ 持久化与权限
该技能未请求常驻(always:false),且可由用户调用。根据提供的元数据,它未要求修改其他技能或系统级设置,这是合适的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/19
首次公开发布
● Pending
安装命令
点击复制官方npx clawhub@latest install bird-x-reader
镜像加速npx clawhub@latest install bird-x-reader --registry https://cn.longxiaskill.com
技能文档
# bird 使用 bird 读取/搜索 X 并发布推文/回复。 快速开始 - bird whoami - bird read - bird thread - bird search "query" -n 5 发布(先征得用户同意) - bird tweet "text" - bird reply "text" 认证来源 - 浏览器 cookie(默认 Firefox/Chrome) - Sweetistics API:设置 SWEETISTICS_API_KEY 或使用 --engine sweetistics - 检查来源:bird check