ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Tech Radar Daily

v1.0.9

每日技术情报雷达 - 自动发现有趣工具、技术趋势、赚钱项目。扫描 GitHub Trending、Product Hunt、Hacker News、Awesome Lists,智能评分筛选高价值项目,每日推送 7-9 条精选情报到飞书。

0· 110·0 current·0 all-time
by@dereklu515
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Benign
high confidence
Purpose & Capability
技能名与描述(扫描 GitHub/PH/HN/Awesome、筛选并推送飞书)与代码实现一致。所需二进制(node)与所做工作匹配,唯一必需的环境变量是 FEISHU_WEBHOOK_URL,用于向飞书发送消息。
Instruction Scope
SKILL.md 指示运行 node scripts/run-cycle.js 或 --test。运行逻辑在脚本中清楚列出:抓取公开页面、过滤/评分、生成摘要、保存到本地日志并可发送到用户提供的飞书 webhook。唯一不完全匹配的地方是文档提到“已配置每天 09:00 Cron”,但安装脚本不会自动注册系统 cron(lifecycle.onInstall 仅创建目录和初始化文件)。
Install Mechanism
安装通过 npm(package.json + package-lock.json),依赖来自 npm 官方 registry(cheerio, node-fetch, proxy-agent 等)。通过 npm 安装是常见做法,但 npm install 会拉取并运行第三方包(增加攻击面);没有发现从不明个人服务器直接下载或执行二进制的行为。
Credentials
仅要求 FEISHU_WEBHOOK_URL(必需)。GITHUB_TOKEN 和 https_proxy/HTTP_PROXY 被标注为可选/推荐,用途明确(提高 GitHub API 限额与代理访问)。没有发现请求与功能不相关的凭据或秘密。
Persistence & Privilege
技能不会要求 'always: true',也不修改其他技能或系统配置 beyond its own workspace. 它会在技能目录下创建/写入数据文件(logs/, data/seen_repos.json, data/stats/),这是功能所需且与描述一致。
Assessment
这项技能看起来与其描述一致, 但请在安装前注意: - 使用专用的飞书 webhook(FEISHU_WEBHOOK_URL),不要在生产/敏感群组使用未经审查的 webhook — 任何写入该 webhook 的程序都能向对应飞书接收端发送内容。 - npm install 会拉取第三方包并运行安装脚本,建议先在隔离环境(容器或沙箱)执行 npm install 并检视 package-lock.json;如果你不信任全部第三方依赖,可手动审查或限制网络访问。 - 先用测试模式运行(node scripts/run-cycle.js --test)以确认输出并避免意外推送;SKILL.md 与脚本都支持 --test 跳过推送。 - 注意 SKILL.md 提到的每日 Cron 需要你自己在主机上配置(安装脚本不会自动添加系统级定时任务)。 - 如果不希望技能在本地长期保存历史数据,删除或监控 data/ 和 logs/ 目录(seen_repos.json, stats 和 archives 会写入这些位置)。 总体来说:功能一致且合理,但遵循上面几条最低限度的操作与审查步骤再启用自动推送。
scripts/collectors-awesome.js:14
Environment variable access combined with network send.
scripts/collectors.js:16
Environment variable access combined with network send.
!
scripts/collectors-awesome.js:24
File read combined with network send (possible exfiltration).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

latestvk97aj6mjv2vr8w0vwavkk1has183vcm1

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

Runtime requirements

📡 Clawdis
Binsnode
EnvFEISHU_WEBHOOK_URL

Install

Install dependencies (npm)

Comments