by 安全扫描
OpenClaw
安全
high confidence此技能声称并实际执行的功能一致:使用 CoinGecko 查询加密货币价格、排行和新闻,没有请求多余权限或可疑外部端点。
评估建议
该技能总体上是自洽的:它只调用 CoinGecko 官方 API 来获取行情数据,不要求任何凭据或可疑外部端点。安装前请注意:
- 运行此技能需要 python3 和 requests 库(以及 shell 版本需要 curl 和 python3);确保运行环境具备这些依赖或在技能元数据中补充声明。
- 技能会向外网(api.coingecko.com)发起请求;如果您在受限网络或对流量隐私敏感,请确认允许此类外部访问。
- 脚本易于审计,未见数据外泄或隐藏端点;如果您仍担忧,手动查看并运行脚本以验证输出行为。
- 考虑增加在元数据中声明的运行时依赖和使用限制(例如请求速率)以减少误用风险。
总体来说没有发现不成比例的权限请求或恶意行为。详细分析 ▾
✓ 用途与能力
技能名称/描述与包含的脚本和功能一致:scripts/crypto.py 和 scripts/crypto.sh 调用官方 CoinGecko API 获取价格、排行和搜索结果。没有要求与功能不符的凭据或外部服务。
✓ 指令范围
SKILL.md 明确限定为价格、市场数据、趋势和新闻查询;说明没有指示读取用户其他文件、环境变量或将数据传输到 CoinGecko 以外的端点。脚本仅向 api.coingecko.com 发起请求并格式化输出。
✓ 安装机制
无安装说明(instruction-only),也没有从不可信源下载或解压代码。包含的脚本已随包提供,没有运行时进行远程安装的行为。总体安装风险低。
ℹ 凭证需求
技能不要求任何环境变量或凭据,符合其公开用途。但脚本隐含依赖运行环境:python3、requests 库(python 脚本)以及 curl 和 python3(shell 脚本)。清单中未声明这些运行时依赖,是一个小的不一致(应在元数据中列出要求的二进制/库)。脚本本身未访问敏感环境变量或凭据。
✓ 持久化与权限
没有请求始终启用(always:false),也未修改其他技能或系统配置。技能不会自行持久化凭据或写入系统配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/6
Initial release: 实时价格查询、市场数据、趋势分析、新闻追踪
● 无害
安装命令
点击复制官方npx clawhub@latest install crypto-research-wgx
镜像加速npx clawhub@latest install crypto-research-wgx --registry https://cn.longxiaskill.com