📦 Social Media Marketing Hub — 社交媒体营销中心
v7.6.0🎯 抖音/小红书/快手多平台爆款内容分析 + AI智能生成标题/脚本 + 商品数据及竞品账号分析工具
0· 49·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能基本符合其声明的营销分析目的,但存在多个不一致和危险行为(硬编码API密钥、未声明的网络目标、跨技能文件系统执行、使用系统级子进程),在安装或运行前值得审查。
评估建议
安装或运行此技能前需要考虑的关键问题:
- 硬编码凭证:scripts/config.js 包含仓库中的API密钥。请勿信任或使用这些密钥——它们可能属于作者或第三方。删除嵌入的密钥,或更好的做法:重新配置技能以要求您提供自己的密钥,并轮换任何可能已暴露的密钥。
- 清单与运行时不匹配:清单仅列出 api.tikhub.io 和 api.deepseek.com,但代码执行 douyin.com 的浏览器抓取并启动系统浏览器(google-chrome/Xvfb)。请确认您的环境策略允许此行为且您接受抓取行为。
- 跨技能文件系统与执行:cmd_vid_integration.py 尝试调用 ~/.openclaw-agent2/...(另一个技能)中的脚本。这会读取和执行技能目录外的文件——请审查该路径,并考虑在隔离的沙箱中运行,如果您不希望该技能访问其他技能或您的家目录。
- 子进程和shell使用:该技能使用 exec/execSync 并构建shell命令字符串(启动 Xvfb、启动 Chrome、运行 curl)。如果传递不受信任的输入,可能容易受到注入攻击;避免在具有敏感...详细分析 ▾
⚠ 用途与能力
名称/描述声称是使用 TikHub 和 DeepSeek 的社交媒体营销分析工具——这与调用这些服务的代码一致。然而:(1) manifest/clientPermissions 仅记录 api.tikhub.io 和 api.deepseek.com,而代码执行 douyin.com 的浏览器抓取(并构造/显示可执行文件以打开任意URL),这未列入 allowed_hosts;(2) 脚本引用私有本地技能路径(~/.openclaw-agent2/...)来运行另一个技能的渲染脚本,这超出了声明的 read_roots 且与描述的核心功能无关。这些不匹配表明该技能将访问其清单声明之外的网络主机和本地文件。
⚠ 指令范围
SKILL.md 描述了使用两个API密钥克隆和运行 node 脚本——这是一致的。但运行时指令(和代码)将:启动系统级命令(Xvfb、google-chrome)、使用构造的命令行运行 shell exec/execSync、执行 douyin.com 的有头/无头浏览器抓取、通过 curl 调用外部API、读写 scripts/memory 下的 JSON 记忆文件,并尝试通过用户家中的绝对路径调用另一个技能的 run_render.py。指令未记录跨技能调用或需要允许访问 douyin.com,也未披露代理可能启动 Xvfb/chrome 或执行任意子进程。这扩展了范围,超越了简单的API驱动分析工具。
ℹ 安装机制
没有安装规范(仅指令),因此安装时没有远程下载。这降低了安装时风险。然而,发货的代码执行系统二进制文件(Xvfb、/usr/bin/google-chrome、curl)并在运行时生成子进程;这些运行时操作可以执行任意命令并操作系统资源。代码还尝试通过 execSync 和 pkill 启动 Xvfb,这可能影响其他系统进程。
⚠ 凭证需求
manifest/env 声明没有必需的环境变量,但代码需要两个凭证(TIKHUB_TOKEN 和 DEEPSEEK_KEY),通过 scripts/config.js 和运行时。更糟糕的是:包中的 scripts/config.js 包含硬编码的API密钥(两者都存在于仓库中),尽管清单将 scripts/config.js 列入 doNotCommitToVcs。附带嵌入的密钥是一个严重的危险信号(凭证泄露和这些密钥的所有权不明确)。此外,该技能将通过浏览器抓取联系 douyin.com,除了两个声明的API之外——该外部访问未反映在所需的环境/配置中,可能会暴露抓取的数据。凭证的数量和性质(包括以 'sk-' 开头的字符串)与简单的仅指令列表(声明没有所需环境变量)不成比例。
⚠ 持久化与权限
该技能未设置为 always:true 且未声明修改其他技能,但其代码明确尝试访问和执行 ~/.openclaw-agent2/... 中的脚本,这超出了其声明的文件系统读取根目录。它将记忆文件写入 scripts/memory(声明为写入根目录),但也在 agent_data 路径下写入工作流文件,并可能调用其他已安装的技能代码。在另一个技能目录中执行代码并调用系统级进程会增加其有效权限和影响范围,超出清单声明的范围。
⚠ scripts/marketing_hub.js:167
检测到Shell命令执行(child_process)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv7.6.02026/4/16
- 新增记忆文件:scripts/memory/螺蛳粉.json。 - 更新 manifest.yaml 和 marketing_hub.js 的最新调整。 - 命令或用户界面无变更。
● 可疑
安装命令
点击复制官方npx clawhub@latest install social-media-marketing-hub
镜像加速npx clawhub@latest install social-media-marketing-hub --registry https://cn.longxiaskill.com镜像同步中
技能文档
安装配置
git clone https://github.com/0xbigbig/social-media-marketing-hub.git
cd social-media-marketing-hub/scripts
node marketing_hub.js config
获取 API:
- TikHub Token → tikhub.io/register
- DeepSeek Key → platform.deepseek.com
命令参考
抖音分析
| 命令 | 说明 |
|---|---|
analyze <词> | 深度分析 + AI 学习爆款规律 |
analyze <词> --days=7 | 只看7天内数据 |
analyze <词> --has-product | 只看带货视频 |
analyze <词> --browser | 用真实浏览器搜索 |
a <词> | 快速查看数据(免费) |
爆款标题
| 命令 | 说明 |
|---|---|
titles <词> | 生成10条爆款标题 |
titles <词> -n=20 | 生成20条 |
口播脚本
| 命令 | 说明 |
|---|---|
script <词> sales [产品] [价格] | 带货脚本(60秒+) |
script <词> seed | 种草脚本(30-60秒) |
script <词> traffic | 引流脚本(15-30秒) |
node marketing_hub.js script 风水 sales 挂件 39商品分析
| 命令 | 说明 |
|---|---|
product <词> | 商品提取 + 佣金估算 + AI分析 |
export <词> | 导出 CSV 表格 |
竞品账号分析
| 命令 | 说明 |
|---|---|
author <博主名> | 账号数据 + 视频风格 + 带货能力 + AI深度分析 |
node marketing_hub.js author 李子柒小红书 / 快手
| 命令 | 说明 |
|---|---|
xhs <词> | 小红书内容分析 |
xhs <词> --sort=hot | 按热度排序 |
xhs <词> --sort=new | 按最新排序 |
ks <词> | 快手内容分析 |
记忆系统
| 命令 | 说明 |
|---|---|
memory | 查看所有赛道记忆 |
memory <词> | 查看某赛道详细记忆 |
dashboard <词> | 可视化分析面板 |
一键全套
full <词> [产品] [价格] # 等于:analyze + titles + script
自然语言
支持直接说人话,AI 自动识别命令和关键词:
用浏览器分析风水
小红书分析护肤
数据输出说明
analyze结果存入scripts/memory/<赛道>.jsonexport导出 CSV 存入当前目录author分析结果存入author_<博主名>.json- 所有分析结果均可叠加,越分析 AI 越懂你的赛道
请严格按照系统提示词中的输出格式要求,返回 JSON 对象。