Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
妈妈网爬虫
v1.1.0妈妈网育儿知识爬虫(PC端)。爬取妈妈网(www.mama.cn)育儿文章,输出 Markdown 格式并存入御知库(~/.yuzhi/crawls/mama_cn/)。默认使用PC端User-Agent,按分类或关键词搜索爬取。帝说"爬取妈妈网"、"/爬虫"或需要采集育儿知识时触发。
⭐ 0· 90·0 current·0 all-time
by@zton100
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
技能名/描述与脚本功能一致:按分类或关键词抓取妈妈网文章、转换为 Markdown 并存入 ~/.yuzhi/crawls/mama_cn/。未请求额外凭据或不相关权限。唯一不一致点是脚本通过 subprocess 调用 curl,但 registry metadata 未声明需要 curl。
Instruction Scope
SKILL.md 指示运行脚本,脚本只访问 mama.cn 域并将结果写入用户主目录下的 ~/.yuzhi 路径;没有将数据上报到其他网络端点或访问系统范围配置。不过脚本和说明都明确“不验证 SSL 证书”,并未提及遵守 robots.txt 或站点使用条款,这涉及合规/礼貌抓取问题(以及中间人风险)。
Install Mechanism
无安装规范(instruction-only),不会在安装阶段下载或写入额外代码,这降低了安装风险。但脚本依赖系统 curl(二进制)用于 HTTP 请求,且 metadata 未声明该依赖;如果系统未安装 curl,脚本会失败。
Credentials
技能不请求任何环境变量、凭据或配置路径。写入仅限于用户主目录下的 ~/.yuzhi 子目录,与技能目的相符,未见多余或不相关的凭据访问请求。
Persistence & Privilege
flags 显示默认行为(always: false,agent 可调用但非强制包含)。代码不会修改其他技能或系统范围设置,仅在运行时写入其自己的目录,权限范围合适。
Assessment
要点与建议(非技术性):
- 这项技能基本做它声称的事:从 mama.cn 抓文章并存成 Markdown 到你的 ~/.yuzhi 目录。
- 注意它调用系统上的 curl(脚本用 subprocess 执行),但 registry 描述中没有声明需要 curl;安装前请确保你的环境有 curl,或手动查看并修改脚本以使用 Python 的 requests 等库。
- 脚本使用 curl 的 -k 选项禁用 SSL 证书验证,这会让抓取对中间人攻击更脆弱;如果你在不受信任网络上运行,慎用或修改去掉 -k。
- 脚本没有检查或声明遵守 robots.txt 或网站抓取政策;在大量抓取(--all、较大页数或频繁运行)前,请确认目标网站的使用条款和 robots.txt,避免法律/道德问题,并考虑降低速率或加上更严格的限速。
- 如果你对安全或合规有顾虑,可以先在隔离环境(容器或临时账户)中运行,检查输出文件是否符合预期,再决定是否长期使用。
- 概括:功能一致且无明显恶意,但实现上有可改进点(依赖声明、SSL 验证、抓取礼貌性),请权衡合规与安全后再安装/运行。Like a lobster shell, security has layers — review code before you run it.
babyvk979ve8tycysybcvxb5nfv9jad83sybqchinavk979ve8tycysybcvxb5nfv9jad83sybqcrawlervk979ve8tycysybcvxb5nfv9jad83sybqknowledgevk979ve8tycysybcvxb5nfv9jad83sybqlatestvk979ve8tycysybcvxb5nfv9jad83sybqmothervk979ve8tycysybcvxb5nfv9jad83sybq
License
MIT-0
Free to use, modify, and redistribute. No attribution required.