Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
E-commerce Skills
v1.0.0提供电商产品选品调研、市场竞争分析与内容生成,支持淘宝、拼多多、抖音、小红书、1688平台操作。
⭐ 0· 227·1 current·1 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能的名称与描述(电商选品、市场分析、支持淘宝等平台)与 SKILL.md 中列出的能力一致;要求通过淘宝开放平台访问商品数据与用途相符。
Instruction Scope
SKILL.md 明确要求环境变量 ECOMMERCE_TAOBAO_APP_KEY/APP_SECRET 并描述“技能会自动调用淘宝 API”。但是 registry 元数据声明没有任何必需环境变量;说明文档要求访问凭据却未在元数据中列出,存在文档/清单不一致的问题。
Install Mechanism
SKILL.md 推荐通过 `npx skills add your-username/ecommerce-openclaw-skills` 安装并且 PROJECT_INFO.txt 提及 package.json 等发布相关文件,但实际包清单只包含三个文档文件(无 package.json、无代码、无安装规范)。这表明要么发布制品不存在,要么元数据不完整——在信任并运行之前需确认包来源和发布位置。
Credentials
只需要(或文档中仅列出)淘宝 API 凭据,按功能需要这是合理且不过度。但因为这些凭据在 registry 要求中未声明,存在配置声明不一致的风险;此外未来宣称支持更多平台会需要额外凭据(目前尚未列出)。
Persistence & Privilege
技能为 instruction-only,注册标记没有设置 always:true,默认允许用户/模型调用,未请求长期驻留或提升平台权限。
What to consider before installing
在决定安装或向此技能提供凭据前请做以下核实:
1) 要求作者或发布方提供代码仓库或 npm / ClawHub 发布页面,确认 package.json 与可安装包存在;不要仅凭 SKILL.md 的安装命令操作。
2) 要求技能在 registry 元数据中明确列出所需环境变量(例如 ECOMMERCE_TAOBAO_APP_KEY/APP_SECRET),并确认凭据仅用于淘宝 API 调用且不会被上报到第三方服务。
3) 如果准备测试,先在受控环境中运行(使用测试/只读 API Key 或权限受限的账号),并监控外发网络请求与数据去向。
4) 因为源码/发布来源未知,优先向开发者索要源码审计或在信任的仓库(GitHub/GitLab/ClawHub)中验证发布包。
5) 若不愿暴露真实私密凭据,可要求支持 OAuth/短期 token 或人工中介认证流程。Like a lobster shell, security has layers — review code before you run it.
latestvk971zabs31cxwt7szn5rxb5jg98344fv
License
MIT-0
Free to use, modify, and redistribute. No attribution required.