📦 fnclub-signer — 飞牛论坛签到
v1.0.2飞牛论坛(club.fnnas.com)自动签到。触发场景:(1) 用户要求"飞牛签到"、"飞牛论坛签到"、"fnclub签到";(2) 设置定时飞牛论坛签到任务;(3) 查询飞牛论坛签到状态。
2· 307·0 当前·0 累计
by 安全扫描
OpenClaw
安全
high confidence该技能的代码和指令与其声明的目的(自动登录 club.fnnas.com 签到)相符;它需要论坛凭据和百度 OCR 密钥,这些对其功能来说是合理的,但在安装前有几个打包/元数据和持久化细节需要你检查。
评估建议
该技能似乎能实现其声称的功能:登录 club.fnnas.com,通过百度 OCR 处理验证码,并保存 cookies/tokens 以便重复签到。安装前注意:(1) 确认注册表元数据与 SKILL.md 的差异(该技能确实需要 4 个环境变量);(2) 建议使用专用/低权限论坛账户(而非主账户),因为你的论坛密码将被存储/使用;(3) 如果使用 'openclaw config set',密钥将保存到 openclaw.json — 请确认该文件位置并保护其文件系统权限;(4) 检查并限制对 scripts/config.json、scripts/cookies.json 和 scripts/token_cache.json 的访问(它们包含凭据/会话令牌);(5) 在你控制的环境中检查并运行 npm install(node_modules 从 npm 获取);(6) 如果你不想存储真实密码,请考虑论坛是否支持 API 令牌或使用一次性账户;(7) 如果你想要额外保证,请在本地审计完整脚本文件(scripts/fnclub_signer.js)— 除论坛和百度 OCR API 外,...详细分析 ▾
ℹ 用途与能力
技能的名称/描述(fnclub 签到)与代码和指令相符,这些代码和指令在 club.fnnas.com 上执行 HTTP 登录和签到,并使用百度 OCR 处理验证码。然而,之前显示的注册表元数据列出"所需环境变量:无",而 SKILL.md 和 scripts/package.json 声明了四个所需的环境变量(FNCLUB_USERNAME、FNCLUB_PASSWORD、BAIDU_OCR_API_KEY、BAIDU_OCR_SECRET_KEY)。这种元数据不匹配可能是打包疏忽,但应该修复/确认。
✓ 指令范围
SKILL.md 仅指示提供论坛凭据和百度 OCR 凭据,在 scripts/ 中运行 npm install,并运行 Node 脚本或通过 OpenClaw cron 调度它。运行时指令和代码仅在目标论坛和百度 OCR 服务上运行;它们不请求与 club.fnnas.com 和百度的 OCR API 无关的系统文件或网络端点。
ℹ 安装机制
这是指令 + 包含的 Node.js 脚本(无平台安装规范)。安装步骤是 'cd scripts && npm install',它从公共 npm 注册表拉取依赖(axios、cheerio、tough-cookie)。这些是常见的库,对这项任务是预期的,但 npm 安装会执行网络下载并将 node_modules 写入磁盘——这是标准的,但值得注意。
✓ 凭证需求
所需的环境变量正是论坛用户名/密码和百度 OCR API 密钥/密钥——所有这些都由代码证明是合理的。这些是高敏感性密钥(密码 + API 密钥)。该技能提供了替代配置文件路径;两种方法都会将密钥持久化到磁盘,除非你只在临时进程 env 中设置它们。注意你存储它们的位置。
ℹ 持久化与权限
该技能不请求提升的平台权限,且 'always' 为 false。但是,它将会话 cookie 和缓存的百度访问令牌持久化到磁盘(默认情况下为 scripts/cookies.json、scripts/token_cache.json),并且 SKILL.md 建议通过 openclaw config 命令将环境变量存储在 openclaw.json 中。这意味着密钥和会话令牌将存储在磁盘上;检查 openclaw.json 的位置并保护文件权限。
⚠ scripts/fnclub_signer.js:16
环境变量访问与网络发送相结合。
⚠ scripts/fnclub_signer.js:21
文件读取与网络发送相结合(可能存在泄露)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/10
- 更新了 ClawHub 环境变量设置命令,提高了清晰度和安全性。 - 添加了专门的"安装"部分,包含脚本依赖的 npm install 说明。 - 明确列出了所需的 Node.js 依赖(axios、cheerio、tough-cookie)。 - 澄清并更新了文件描述和使用说明,包括自动缓存生成的说明。 - 对环境变量和配置文件设置进行了小幅格式改进和指导。
● 无害
安装命令
点击复制官方npx clawhub@latest install fnclub-signer
镜像加速npx clawhub@latest install fnclub-signer --registry https://cn.longxiaskill.com
技能文档
自动完成飞牛私有云论坛(club.fnnas.com)每日签到,获取飞牛币奖励。
凭证要求
本技能需要以下环境变量才能正常运行:
| 变量名 | 说明 | 是否必需 | 敏感性 |
|---|---|---|---|
FNCLUB_USERNAME | club.fnnas.com 登录用户名 | ✅ 是 | 🔴 高 |
FNCLUB_PASSWORD | club.fnnas.com 登录密码 | ✅ 是 | 🔴 高 |
BAIDU_OCR_API_KEY | 百度 OCR API 访问密钥 | ✅ 是 | 🟡 中 |
BAIDU_OCR_SECRET_KEY | 百度 OCR API 密钥 | ✅ 是 | 🟡 中 |
可选环境变量
| 变量名 | 说明 | 默认值 |
|---|---|---|
FNCLUB_CONFIG | 配置文件路径 | scripts/config.json |
FNCLUB_DATA_DIR | 数据目录(Cookie/Token缓存) | scripts/ |
方式一:ClawHub 环境变量(推荐)
注意:这样添加环境变量会保存在 openclaw.json 中,不会暴露在系统环境变量中。
openclaw config set env.vars.FNCLUB_USERNAME "你的用户名"
openclaw config set env.vars.FNCLUB_PASSWORD "你的密码"
openclaw config set env.vars.BAIDU_OCR_API_KEY "你的百度OCR API Key"
openclaw config set env.vars.BAIDU_OCR_SECRET_KEY "你的百度OCR Secret Key"
方式二:配置文件
在 scripts/config.json 中配置:
{
"username": "你的用户名",
"password": "你的密码",
"baidu_ocr_api_key": "百度OCR API Key",
"baidu_ocr_secret_key": "百度OCR Secret Key"
}
获取百度OCR API
- 访问 百度AI开放平台
- 创建应用,选择"文字识别"服务
- 获取 API Key 和 Secret Key
安装
安装 Node.js 依赖
cd scripts
npm install
这将安装以下依赖:
axios- HTTP 请求库cheerio- HTML 解析库tough-cookie- Cookie 管理库
使用
手动签到
node scripts/fnclub_signer.js
定时签到
使用 OpenClaw cron 设置每日自动签到:
openclaw cron add \
--name "fnclub-signer" \
--every "1d" \
--session main \
--system-event "fnclub-sign" \
--description "飞牛论坛每日签到" \
--tz "Asia/Shanghai"
文件说明
scripts/fnclub_signer.js- 主签到脚本 (Node.js) ✅ 推荐scripts/config.json.example- 配置文件模板scripts/config.json- 配置文件(需手动创建,通过命令的形式设置变量不需要创建)scripts/cookies.json- Cookie缓存(首次登录后自动生成)scripts/token_cache.json- 百度OCR Token缓存(首次需要验证码时自动生成)scripts/node_modules/- Node.js 依赖