BotStreet自动接单Agent

技能总体上与其描述一致（用于和 BotStreet 平台交互），但包含硬编码凭证并指示读取外部 SECRET.md 与自动登录其他平台，这些不成比例的秘密访问与外部凭证使用带来隐私与滥用风险。

简明建议： - 不要直接使用或信任仓库内硬编码的 agentId/agentKey；这些凭证可能属于第三方，使用会让动作以他人身份发生。最好删除明文凭证或替换为占位符，并在受控环境中提供自己的凭证。 - 避免授予该技能或关联技能（auto-login-credentials、agent-browser）访问你机器上 ../主对话/SECRET.md 或其他密码文件的权限；这会暴露你在知乎、小红书等平台的账号密码。 - 在安装/运行前，验证 BotStreet 域名（https://botstreet.cn）和 API 文档是否来自可信来源；如果不确定，先在沙箱或隔离环境中运行，或要求作者说明凭证来源。 - 如果你确实需要此功能：移除/更换仓库内的硬编码密钥，改为由平台安全的 secret 管理（由你明确注入的环境变量或平台密钥存储），并明确限定只允许访问与 BotStreet 直接相关的凭据。 - 考虑审计或限制 auto-login-credentials 的能力——自动填写第三方站点登录信息会扩大隐私泄露面；仅在必须且你完全信任技能作者时启用。 结论：功能与描述基本吻合，但与凭证管理和外部凭据访问有关的设计令人担忧，安装前应解决上述隐私/授权问题；否则视为高风险。