ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Tech Radar Daily

v1.0.9

每日技术情报雷达 - 自动发现有趣工具、技术趋势、赚钱项目。扫描 GitHub Trending、Product Hunt、Hacker News、Awesome Lists,智能评分筛选高价值项目,每日推送 7-9 条精选情报到飞书。

0· 158·0 current·0 all-time
by@dereklu515
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Benign
high confidence
Purpose & Capability
技能名与描述(扫描 GitHub/PH/HN/Awesome、筛选并推送飞书)与代码实现一致。所需二进制(node)与所做工作匹配,唯一必需的环境变量是 FEISHU_WEBHOOK_URL,用于向飞书发送消息。
Instruction Scope
SKILL.md 指示运行 node scripts/run-cycle.js 或 --test。运行逻辑在脚本中清楚列出:抓取公开页面、过滤/评分、生成摘要、保存到本地日志并可发送到用户提供的飞书 webhook。唯一不完全匹配的地方是文档提到“已配置每天 09:00 Cron”,但安装脚本不会自动注册系统 cron(lifecycle.onInstall 仅创建目录和初始化文件)。
Install Mechanism
安装通过 npm(package.json + package-lock.json),依赖来自 npm 官方 registry(cheerio, node-fetch, proxy-agent 等)。通过 npm 安装是常见做法,但 npm install 会拉取并运行第三方包(增加攻击面);没有发现从不明个人服务器直接下载或执行二进制的行为。
Credentials
仅要求 FEISHU_WEBHOOK_URL(必需)。GITHUB_TOKEN 和 https_proxy/HTTP_PROXY 被标注为可选/推荐,用途明确(提高 GitHub API 限额与代理访问)。没有发现请求与功能不相关的凭据或秘密。
Persistence & Privilege
技能不会要求 'always: true',也不修改其他技能或系统配置 beyond its own workspace. 它会在技能目录下创建/写入数据文件(logs/, data/seen_repos.json, data/stats/),这是功能所需且与描述一致。
Assessment
这项技能看起来与其描述一致, 但请在安装前注意: - 使用专用的飞书 webhook(FEISHU_WEBHOOK_URL),不要在生产/敏感群组使用未经审查的 webhook — 任何写入该 webhook 的程序都能向对应飞书接收端发送内容。 - npm install 会拉取第三方包并运行安装脚本,建议先在隔离环境(容器或沙箱)执行 npm install 并检视 package-lock.json;如果你不信任全部第三方依赖,可手动审查或限制网络访问。 - 先用测试模式运行(node scripts/run-cycle.js --test)以确认输出并避免意外推送;SKILL.md 与脚本都支持 --test 跳过推送。 - 注意 SKILL.md 提到的每日 Cron 需要你自己在主机上配置(安装脚本不会自动添加系统级定时任务)。 - 如果不希望技能在本地长期保存历史数据,删除或监控 data/ 和 logs/ 目录(seen_repos.json, stats 和 archives 会写入这些位置)。 总体来说:功能一致且合理,但遵循上面几条最低限度的操作与审查步骤再启用自动推送。
scripts/collectors-awesome.js:14
Environment variable access combined with network send.
scripts/collectors.js:16
Environment variable access combined with network send.
!
scripts/collectors-awesome.js:24
File read combined with network send (possible exfiltration).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

Runtime requirements

📡 Clawdis
Binsnode
EnvFEISHU_WEBHOOK_URL

Install

Install dependencies (npm)
latestvk97aj6mjv2vr8w0vwavkk1has183vcm1
158downloads
0stars
10versions
Updated 2w ago
v1.0.9
MIT-0
@dereklu515
latest
Download

Tech Radar Daily

每日技术情报雷达 - 自动发现有趣工具、技术趋势、赚钱项目

功能

  • 🔍 扫描 GitHub Trending、Product Hunt、Hacker News、Awesome Lists
  • 📊 智能评分筛选高价值项目(趋势热度 + 历史影响 + AI 属性 + 大厂加分)
  • 🚀 每日推送 7-9 条精选情报到飞书
  • 🔄 自动去重,7 天内不重复推荐
  • ⏰ 自动运行,每天 09:00 Cron 定时任务

使用方法

手动运行

cd /Users/mini/.openclaw/workspace/skills/tech-radar-daily
node scripts/run-cycle.js

测试模式(不推送飞书)

node scripts/run-cycle.js --test

定时任务

# 已配置:每天 09:00 自动运行

⚠️ Gotchas(常见陷阱)

🔴 高风险

  • 不要忘记设置 Cron timeout ✅ 正确做法:openclaw cron add --timeout 650

  • 不要重复推荐同一项目(7 天内) ✅ 正确做法:维护 seen_repos 数据库

🟡 中风险

  • 不要一次性抓取太多数据 ✅ 正确做法:每个情报源限制 20 个候选

  • 不要忘记置信度标注 ✅ 正确做法:每条情报标注 🟢🟡🟠

配置

环境变量:

  • FEISHU_WEBHOOK_URL: 飞书机器人 webhook 地址(必需)
  • https_proxyHTTP_PROXY: 代理地址(推荐配置,解决 GitHub 访问问题)
  • GITHUB_TOKEN: GitHub API Token(可选,提高限额)

代理说明:

  • 代码使用 proxy-agent 自动读取 https_proxy / HTTP_PROXY 环境变量
  • 如果已配置本地 Clash(系统代理),设置 export https_proxy=http://127.0.0.1:7897
  • 代理配置建议写入 ~/.zshrc,让所有子进程自动继承

变更历史

v1.0.9 (2026-03-29)

  • ✅ 添加 proxy-agent 支持,解决 GitHub Trending 超时问题
  • ✅ 修复 SKILL.mdinstall 配置,支持自动 npm install
  • ✅ 添加 requires.bins: ["node"] 依赖检查

v1.0.8 (2026-03-29)

  • 初始发布版本

Comments

Loading comments...