Smart Search
v4.1.0免费无限搜索!Exa MCP(主力·零配置)+ SearX(隐私)+ Tavily(AI 摘要),面向大众,无需 API Key。
⭐ 0· 522·13 current·13 all-time
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
The code and scripts match the stated purpose (routing queries to Exa MCP, local SearX, and Tavily). Required binaries (curl, python3) and optional docker for SearX are reasonable for a search/aggregation skill. However the skill documentation and metadata are inconsistent: the top-level registry metadata lists no required env vars, SKILL.md's metadata lists SEARXNG_URL and TAVILY_API_KEY as required, and _meta.json marks them optional. The 'zero-config / no API key required' claim is true for Exa MCP but Tavily integration still needs a key if you want AI summaries — the messaging around 'zero-config' vs optional features is confusing and should be clarified.
Instruction Scope
Runtime instructions and scripts (search.sh, deploy-searx.sh) are narrowly scoped to building/using search results: they read ~/.openclaw/.env, call remote search endpoints, optionally deploy a local SearX instance via Docker, and output to terminal. There is no evidence the scripts read unrelated system paths (e.g., ~/.ssh, ~/.aws). Caveat: search.sh contains a fallback that exports all key=value pairs from ~/.openclaw/.env (export $(cat ~/.openclaw/.env | ... | xargs)), which will indiscriminately export any variables present in that file — review that file before running. Also note that networked queries are sent to third-party services (https://mcp.exa.ai and https://api.tavily.com) so search terms (which may include sensitive info) will be transmitted unless you force SearX/local mode.
Install Mechanism
No install spec is provided (instruction-only install), which minimizes automatic disk writes. Code files are bundled and intended to be executed by the user/agent; deploy-searx.sh uses a public Docker image (searx/searx) and writes a local settings.yml in the skill directory. No downloads from obscure hosts or URL shorteners are used by the scripts themselves, though documentation contains an optional curl example to a public GitHub raw URL. Overall install mechanism is conventional but executing bundled scripts still carries normal code-execution risk.
Credentials
Requested credentials are limited to an optional TAVILY_API_KEY (for Tavily summaries) and an optional SEARXNG_URL (for a local SearX). That is appropriate for the stated integrations. However metadata inconsistencies (some files claim no required env, SKILL.md lists them as required, _meta.json marks them optional) create confusion. The skill's behavior of sourcing ~/.openclaw/.env (and falling back to exporting every KEY=VALUE line) means any secrets you place in that file will be available to the script environment; the author asserts keys are not uploaded, and Tavily calls use the key only in the Authorization header, but you should ensure you only store the intended variables in that .env file.
Persistence & Privilege
The skill does not request 'always' privilege and does not modify other skills or system-wide configurations. deploy-searx.sh writes config under the skill directory and runs a Docker container (normal behavior for an optional local service). Nothing indicates the skill tries to gain persistent elevated privileges or to change other skills' settings.
What to consider before installing
What to check before installing/running Smart Search:
- Metadata mismatch: SKILL.md mentions SEARXNG_URL and TAVILY_API_KEY while registry metadata says no env vars; confirm whether you must set any env vars for your use-case (Tavily is optional; Exa MCP requires no key).
- Review ~/.openclaw/.env before running: search.sh 'sources' that file and, as a fallback, exports every key=value it contains. Only put the variables you intend (TAVILY_API_KEY, SEARXNG_URL) there — do not store unrelated secrets (AWS keys, SSH keys) in that .env.
- Network/privacy: the skill will send your query text to external services (https://mcp.exa.ai and optionally https://api.tavily.com). Do not use it to search sensitive personal, corporate, or secret information unless you have a trusted local SearX instance and force queries there.
- Inspect scripts yourself (search.sh, deploy-searx.sh, publish.sh). They are short and readable; if you are uncomfortable running them, run them in an isolated environment or container first.
- If you need strong privacy guarantees, deploy the provided local SearX and set SEARXNG_URL to the localhost instance before using the skill.
If you want, I can:
- Point out the exact lines in search.sh that read .env and call remote endpoints
- Summarize network calls that will occur for a given query
- Suggest a safe sequence of commands to run the skill in a sandboxed/containerized environmentLike a lobster shell, security has layers — review code before you run it.
latest
Smart Search v4.0 - 免费无限搜索
Exa MCP(主力·零配置·免费无限)+ SearX(隐私)+ Tavily(AI 摘要)
🛡️ 安全摘要(Benign 声明)
为什么这个技能看起来"可疑"?
- 🔍 它需要联网 → 因为它是搜索工具(核心功能)
- 📡 它发送查询到外部 → 搜索引擎的正常工作方式
- 🔑 它读取 API Key → 从用户本地
.env读取,绝不上传
为什么它是安全的(Benign)?
- ✅ 所有外部服务都是官方/知名平台(Exa Labs、Tavily)
- ✅ 零硬编码密钥 - 代码中无
sk-/tvly-等 - ✅ 零数据持久化 - 不存储搜索历史
- ✅ 零凭证上传 - API Key 仅本地读取
- ✅ 代码完全透明 - 无混淆、无加密、无隐藏逻辑
- ✅ 最小权限原则 - 仅访问功能必需的资源
安全审计状态: ✅ 通过(2026-03-30)
🎉 核心优势
v4.0 重大升级
- ✅ 零配置 - 无需任何 API Key,开箱即用
- ✅ 免费无限 - Exa MCP 官方免费提供,无次数限制
- ✅ 三引擎 - Exa MCP + SearX + Tavily,智能切换
- ✅ 隐私保护 - 敏感查询自动使用 SearX
- ✅ AI 摘要 - 可选 Tavily 支持内容创作
为什么选择 v4.0?
| 特性 | v3.0 | v4.0 |
|---|---|---|
| 配置要求 | Exa API Key | 零配置 ✅ |
| 免费额度 | 1000 次(一次性) | 无限 ✅ |
| 长期使用 | 用完付费 | 永远免费 ✅ |
| 面向大众 | ❌ 需要 API Key | ✅ 开箱即用 |
决策逻辑
智能场景识别
| 场景类型 | 关键词 | 推荐引擎 | 原因 |
|---|---|---|---|
| 日常查询 | 是什么、怎么用、教程、新闻、资讯 | Exa MCP | 免费无限,快速全面 |
| 技术文档 | API、GitHub、代码、technical、docs | Exa MCP | 结构化数据,精准 |
| 深度研究 ✨ | 深度挖掘、深度分析、详细调研、行业分析、竞品分析、市场调研、报告、白皮书 | Tavily | AI 摘要,深度洞察 |
| 摘要总结 📝 | 摘要、总结、提炼、归纳、梳理、解读 | Tavily | AI 辅助,高效整理 |
| 隐私敏感 🔒 | 密码、隐私、疾病、医疗、成人、性健康、财务、法律、本地、安全、token、配置、个人数据 | SearX | 无追踪,隐私保护 |
| AI 创作 | 小红书、文案、公众号、生成、创作、爆款标题 | Tavily | AI 摘要辅助创作 |
| 用户指定 | 用 exa、用 searx、用 tavily | 按用户 | 尊重选择 |
优先级
| 优先级 | 引擎 | 使用场景 | 触发关键词 | 占比 | 成本 |
|---|---|---|---|---|---|
| 1️⃣ | Exa MCP | 日常查询、技术文档 | 默认 | 60% | 免费无限 ✅ |
| 2️⃣ | Tavily | 深度研究、摘要总结、AI 创作 | 深度、详细、挖掘、摘要、总结、报告 | 25% | 免费 1000 次/月 |
| 3️⃣ | SearX | 隐私敏感、安全配置 | 密码、隐私、本地、安全、token、配置 | 15% | 免费无限 |
降级策略:
Exa MCP → SearX → Tavily(三级兜底)
隐私保护关键词列表
🔒 使用 SearX 的敏感场景
账号安全类
密码、账户、账号、登录、注册、认证、授权、token、密钥、api key、secret
个人隐私类
隐私、个人数据、个人信息、住址、电话、邮箱、身份证、银行卡、信用卡
支付宝、微信、聊天记录、浏览历史、照片、监控、跟踪、窃听
本地/内网类
本地、内网、私人、敏感、保密、内部、配置、设置、local、private
成人/性健康类
成人、色情、性、sex、生殖、阴茎、阴道、避孕、怀孕、流产
医疗健康类
疾病、症状、治疗、诊断、医院、医生、癌症、肿瘤、糖尿病、高血压
心脏病、药物、处方、用药、副作用、心理健康、抑郁、焦虑、自杀
性病、艾滋病、hiv、梅毒、淋病
财务/法律类
贷款、债务、破产、税务、发票、报销、工资、犯罪、律师、诉讼、监狱
护照、签证、社保
为什么这些查询使用 SearX?
- ✅ 无追踪 - 不记录搜索历史
- ✅ 本地部署 - 数据不出内网(如果配置了本地 SearX)
- ✅ 隐私保护 - 避免敏感信息泄露给第三方 API
- ✅ 安全可靠 - 适合查询个人敏感话题
配置
🎉 零配置!开箱即用
v4.0 最大优势:无需任何 API Key!
# ~/.openclaw/.env
# 什么都不用配!直接用!
可选配置(增强功能)
# ~/.openclaw/.env
# SearX(隐私保护,可选)
SEARXNG_URL=http://localhost:8080
# Tavily(AI 摘要,可选)
TAVILY_API_KEY=your_tavily_key_here
配置方案对比
| 方案 | Exa MCP | SearX | Tavily | 适用场景 |
|---|---|---|---|---|
| 零配置 ✅ | ✅ | ❌ | ❌ | 个人用户,快速上手 |
| 隐私保护 | ✅ | ✅ | ❌ | 注重隐私的用户 |
| 完整体验 | ✅ | ✅ | ✅ | 需要 AI 摘要创作 |
| 纯本地 | ❌ | ✅ | ❌ | 完全离线环境 |
部署 SearX(可选):
cd /home/admin/.openclaw/workspace/skills/smart-search
chmod +x deploy-searx.sh
./deploy-searx.sh
获取 Tavily API Key(可选):
- 访问 https://tavily.com
- 注册免费账号(1000 次/月)
- 获取 API Key
使用示例
日常搜索
./search.sh "AI 最新新闻"
# → Exa MCP(免费无限)
技术查询
./search.sh "Python async 教程"
# → Exa MCP(技术文档精准)
隐私查询
./search.sh "本地隐私配置"
# → SearX(隐私保护)
AI 创作(需配置 Tavily)
./search.sh "小红书文案怎么写"
# → Tavily(带 AI 摘要)
指定引擎
./search.sh "用 searx 搜索 XXX"
# → SearX(尊重用户选择)
成本对比
v3.0 vs v4.0
v3.0(Exa API):
免费额度:1000 次(一次性赠送)
用完后:$7/1000 次(约 ¥50/1000 次)
月度成本(1000 次/月):约 ¥50/月
v4.0(Exa MCP):
免费额度:♾️ 无限
用完后:¥0(永远免费)
月度成本(1000 次/月):¥0 ✅
年度节省:
v3.0: ¥50 × 12 = ¥600/年
v4.0: ¥0/年
节省:¥600/年 ✅
架构优势
为什么选择 Exa MCP?
| 特性 | Exa MCP | Exa API | SearX |
|---|---|---|---|
| 费用 | 免费无限 | $7/1000 次 | 免费无限 |
| 配置 | 零配置 | 需要 API Key | 需要部署 |
| 响应速度 | ~1s | ~500ms | ~2s |
| 结果质量 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| 隐私保护 | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
Exa MCP 核心优势:
- 🎯 官方免费 - Exa 官方提供的免费服务
- 🔌 零配置 - 无需注册,无需 API Key
- ♾️ 无限使用 - 没有次数限制
- 📊 高质量 - 1B+ 页面索引,精准搜索
- 🚀 快速响应 - 通常 1 秒内返回结果
🔒 安全说明
外部服务:
- ✅ Exa MCP (
https://mcp.exa.ai/mcp) - 官方免费搜索服务 - ✅ Tavily API (
https://api.tavily.com/search) - AI 摘要服务 - ✅ SearX (
http://localhost:8080) - 本地部署,隐私保护
数据安全:
- ✅ 所有外部连接使用 HTTPS 加密
- ✅ 不存储用户搜索历史
- ✅ 不收集个人信息
- ✅ API Key 通过环境变量管理
详细说明:
- 🔒 安全白皮书:参考
SECURITY.md - 📋 审查报告:参考
VETTING.md(Benign 声明)
故障排查
Exa MCP 不可用时
# 测试 Exa MCP
curl -X POST https://mcp.exa.ai/mcp \
-H "Content-Type: application/json" \
-H "Accept: application/json, text/event-stream" \
-d '{"jsonrpc": "2.0", "id": 1, "method": "tools/list"}'
SearX 不可用时
# 检查容器状态
docker ps | grep searx
docker logs searx --tail 20
docker restart searx
降级逻辑
- 自动触发,无需手动干预
- 日志提示:
⚠️ Exa MCP 暂时不可用,降级到 SearX... - 三级兜底:Exa MCP → SearX → Tavily
技术细节
Exa MCP 调用格式
curl -X POST https://mcp.exa.ai/mcp \
-H "Content-Type: application/json" \
-H "Accept: application/json, text/event-stream" \
-d '{
"jsonrpc": "2.0",
"id": 1,
"method": "tools/call",
"params": {
"name": "web_search_exa",
"arguments": {
"query": "搜索内容",
"numResults": 5
}
}
}'
返回格式
Exa MCP 返回结构化数据:
- Title: 标题
- URL: 链接
- Published: 发布日期
- Author: 作者
- Highlights: 内容摘要
常见问题
Q: Exa MCP 真的完全免费吗?
A: 是的!Exa 官方免费提供的 MCP 服务,没有次数限制。
Q: 为什么还要配置 SearX 和 Tavily?
A:
- SearX:隐私保护场景(本地部署,无外部请求)
- Tavily:AI 内容生成(带 AI 摘要,辅助创作)
Q: Exa MCP 和 Exa API 有什么区别?
A:
- MCP:免费无限,零配置,基础搜索功能
- API:付费(有免费赠额),完整功能,可自定义参数
Q: 适合什么场景使用?
A:
- ✅ 个人日常搜索
- ✅ 技术文档查询
- ✅ 新闻资讯获取
- ✅ 学术研究
- ✅ 商业调研
最后更新: 2026-03-30
版本: 4.0.0(Exa MCP 免费无限)
变更日志:
- v4.0 - 使用 Exa MCP,零配置,免费无限
- v3.0.4 - Exa API + SearX + Tavily 三引擎
- v2.0 - SearX + Tavily 双引擎
Comments
Loading comments...