📦 Business Tools Pack — 数字商业自动化
v1.0.0集成7款自动化技能,覆盖数据分析、交易信号优化、客户调研、邮件营销及Gumroad销售,一键赋能数字产品业务。
0· 118·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该包描述与README承诺多项网络/自主功能(交易循环、网页抓取、邮件发送),但SKILL.md与注册元数据未声明所需凭证、环境要求或安全约束。
评估建议
此捆绑包含多个潜在敏感功能(自主交易、论坛抓取、自动发邮件),却未声明所需凭证、运行时依赖或安全控制。安装或启用前:1) 索取每个子技能的完整清单与SKILL.md,查看环境变量、安装步骤及运行时说明;2) 在确认密钥存储与使用方式前,勿提供API密钥(ConvertKit、Mailchimp、交易所),优先使用限定/测试凭证;3) 对AutoSignals要求完整代码审查及沙箱/测试环境运行方式——自主交易若无防护不得用于真实账户;4) 确认客户调研子技能的抓取范围及法律/隐私影响;5) 若继续,请在隔离环境安装,限制自主调用,监控网络/活动日志。鉴于清单缺失及潜在高影响操作,在检查引用子技能前,视此包为不可信。...详细分析 ▾
⚠ 用途与能力
该包声称含7个子技能,包括自主交易、客户研究网页抓取及邮件自动化(ConvertKit/Mailchimp)。然而注册元数据未列出所需环境变量、主凭证或所需二进制文件。README仅称部分技能需API密钥和Python 3.8+。能力(通常需凭证和运行时工具)与声明(无)不匹配,存在不一致。
⚠ 指令范围
SKILL.md仅为指令,告知代理对每个包含技能运行'clawhub install',但未提供运行时约束、凭证显式处理或潜在危险功能(自主交易循环、论坛抓取、邮件发送)的安全限制。指令授予广泛自由以安装并运行子技能,未说明其读取数据、发布结果位置或是否操作外部账户。
ℹ 安装机制
此为纯指令包,无安装规范,包内无代码文件,降低直接磁盘/写入风险。但快速入门明确指示通过'clawhub install'安装七个其他技能——这些子技能此处不可审阅,可能包含安装脚本、下载或第三方包。缺少安装规范只是推迟而非消除风险。
⚠ 凭证需求
元数据声明零环境变量,但README及包内容暗示需API密钥(ConvertKit/Mailchimp)、可能的交易API密钥及Python用于AutoSignals。所需密钥未在技能清单中声明,用户无法在安装前评估子技能将请求或存储何种凭证。
⚠ 持久化与权限
使用always:false及普通模型调用(因而可自主调用)。结合自主交易循环及自动邮件/抓取技能,存在风险:子技能可自主运行并执行网络I/O或外部账户操作。包未提供限制自主性、沙箱或安全检查的指导。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/23
初始版本:面向数字产品业务的7项自动化技能
● 无害
安装命令
点击复制官方npx clawhub@latest install business-tools
镜像加速npx clawhub@latest install business-tools --registry https://cn.longxiaskill.com