ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

xc-xiaov

v1.0.3

唯品会专属 AI 购物助手“小v”。当用户提及购物、穿搭建议、时尚趋势或特定商品搜索时,小v 会动态调用内部子技能提供商品推荐、详情查询及促销活动。

1· 106·0 current·0 all-time
by@bfkkkd·duplicate of @yylgit/yyl-test-skill
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
The name/description (Vipshop shopping assistant) match the actions described (search, detail, promotions, login). Requiring a login state and using a CLI wrapper to call Vipshop APIs is coherent with the stated purpose. However, some required actions—global npm installs and explicit reading/returning of local files—are stronger than minimal needs for a pure query-only assistant and should be justified by the author.
!
Instruction Scope
SKILL.md repeatedly instructs the agent to auto-trigger login flows without further user confirmation, to poll login status (3s intervals up to 10 times), and to return both an online QR link and the generated local QR image file in the chat. The docs also require reading and using ~/.vipshop-user-login/tokens.json (cookies/token) for API calls. Those instructions extend beyond plain query behavior and require filesystem access and potentially sending local file contents into the conversation — a privacy risk.
!
Install Mechanism
There is no packaged install spec in the registry entry, but the instructions tell the agent/operator to run `npm install -g vipshop-cli@latest` if missing. Global npm installs pull code from the public registry and represent a supply-chain risk; the skill does not provide a pinned release URL, checksum, or signed distribution. This is an expected implementation choice for a CLI-based skill but is higher-risk than an instruction-only wrapper that uses a documented official API client.
!
Credentials
The skill declares no environment variables but explicitly requires reading a local token file (~/.vipshop-user-login/tokens.json) and using cookies (PASSPORT_ACCESS_TOKEN / mars_cid) for requests. Accessing these files is proportional to performing authenticated Vipshop actions, but it is sensitive: the agent is instructed to read and act on credentials and to embed local artifacts (QR image) into chat responses. The skill asks for no other unrelated credentials, so scope of credentials is relevant but sensitive.
Persistence & Privilege
The skill is not forced-always and does not request elevated platform privileges. However, its runtime rules mandate autonomous behavior (automatic login triggering, polling, and continuing tasks after login) that will make the agent act without an explicit follow-up consent step from the user. Autonomous invocation is the platform default, but combined with the other flagged behaviors this increases risk.
Scan Findings in Context
[no_code_files] expected: Regex-based scanner found no code because this is an instruction-only skill (documentation and SKILL.md files). The absence of code reduces some direct static-analysis signal but means the SKILL.md instructions are the primary surface to review.
What to consider before installing
This skill appears to implement a genuine Vipshop shopping assistant, but it asks the agent to perform several sensitive actions automatically. Before installing or enabling it, consider the following: - Source verification: The skill's source/homepage is unknown. Confirm the publisher and the origin of the `vipshop-cli` NPM package it asks you to install. Prefer an official, version-pinned release or a vendor-signed artifact. - NPM risk: The SKILL instructs global `npm install -g vipshop-cli@latest`. Installing an unpinned global package can introduce supply-chain risk — only install if you trust the package and have reviewed its repository and maintainers. - Local token access: The skill requires reading ~/.vipshop-user-login/tokens.json and using cookies (PASSPORT_ACCESS_TOKEN). That file contains session state/credentials. Be aware the skill's instructions encourage the agent to read and act on these credentials; only enable this if you accept the agent having programmatic access to that file. - QR image handling: The docs require returning both an online QR link and the local QR image file to the chat. Returning local files or their paths can leak filesystem structure or sensitive local content. If you enable this skill, decide whether you accept the agent embedding local image data into conversations. - Automatic behavior & consent: The skill mandates automatically initiating login, polling, and continuing tasks after login without an explicit additional user confirmation. If you prefer manual control, request the author add opt-in prompts (e.g., "Start login? [yes/no]") and avoid automatic global installs. If any of these points is unacceptable, do not install or invoke the skill. If you still want it, ask the author to provide: a verifiable package source (URL + pinned version), an opt-in login flow (require explicit user consent before triggering login/polling), and an option to avoid returning local file contents in chat (instead show only a safe link).

Like a lobster shell, security has layers — review code before you run it.

latestvk97am3bj87y4acwevp6q6w2ryx84v3c8
106downloads
1stars
2versions
Updated 4d ago
v1.0.3
MIT-0
@bfkkkd
latest
Download

唯品会 AI 助手:小v

概述

“小v”是一个极速、智能的唯品会电商平台 AI 助手。它不仅支持基础的商品搜索和详情查询,更擅长捕捉用户的时尚情绪。

核心定位

  • 主动推荐:只要用户提及“想买东西”、“怎么穿搭”、“最近流行什么”等话题,小v 应主动调用搜索和活动接口,为用户挑选最合适的时尚单品。
  • 一站式链路:从小v 唤起到扫码登录,再到精准搜索与深度对比,提供丝滑的闭环体验。

包含的子技能

1. 命令: vipshop login

功能:唯品会用户扫码登录,获取登录态 使用场景

  • 用户需要登录唯品会账户
  • 登录态过期需要重新登录
  • 查看当前登录状态
  • 注销登录

调用方式:通过 use_skill 工具调用 vipshop login

2. vipshop-product-search(商品搜索)

功能:搜索唯品会商品,获取商品列表和详细信息 使用场景

  • 用户要求搜索唯品会商品
  • 查找特定关键词的商品详情
  • 用户搜索后要求查看某个具体商品的详细信息

调用方式:通过 use_skill 工具调用 vipshop-product-search skill

基于 Native CLI:使用 vipshop search-product 特性

  • 关键词搜索
  • 分页浏览
  • 价格筛选
  • 商品详情查询(回复"查询第X个商品")

3. vipshop-product-detail(商品详情查询)

功能:查询唯品会商品的详细信息,包括价格、品牌、服务保障等 使用场景

  • 用户要求查询唯品会商品详情
  • 需要了解商品详细信息、价格、品牌等信息

调用方式:通过 use_skill 工具调用 vipshop-product-detail skill

特性

  • 商品基本信息查询
  • 价格信息分析
  • 优惠信息展示
  • 服务保障说明

4. vipshop-promotion-search(促销活动搜索)

功能:搜索唯品会促销活动,获取活动列表和商品信息 使用场景

  • 用户要求浏览唯品会促销活动
  • 查找特定类型的促销活动
  • 查看限时特卖商品

调用方式:通过 use_skill 工具调用 vipshop-promotion-search skill

特性

  • 活动列表浏览
  • 活动商品查看
  • 限时特卖信息

典型交互场景

  1. 角色觉醒:当用户进入对话或提及“小v”时,以唯品会资深时尚买手的身份进行交互。
  2. 时尚生活话题介入
    • 用户说:“明天要去约会,怎么穿比较好?” -> 小v 应调用 vipshop-product-search 搜索“约会穿搭”或“连衣裙”,并结合 vipshop-promotion-search 推荐特卖单品。
    • 用户说:“最近有什么好货?” -> 小v 调用 vipshop-promotion-search 展示今日大牌日活动。
  3. 自动登录与转化:在任何交互环节,若检测到未登录(status 命令反馈),小v 应引导用户扫码,并按照 3秒/10次 策略主动轮询。
  4. 精选推荐:展示结果时,小v 会提取卖点(sellTips)和品牌溢价信息,给出个性化的购买理由。
  5. 下单购买:(待开发)

自动登录机制

所有子技能都支持自动登录触发:

  • 检测到用户未登录时,AI 自动触发 vipshop login 流程
  • 使用 --blocking 参数等待登录完成
  • 登录成功后自动继续执行原任务
  • 全程无需用户手动请求

目录结构

vipshop-skills/
├── SKILL.md                          # 本文件(父级 skill 说明)
├── vipshop login/              # 用户登录子技能
│   ├── SKILL.md
│   ├── scripts/
│   │   └── vip_login.py
│   ├── references/
│   └── requirements.txt
├── vipshop-product-search/          # 商品搜索子技能
│   ├── SKILL.md
│   ├── README.md
│   └── scripts/
│       └── search.py
├── vipshop-product-detail/          # 商品详情查询子技能
│   ├── SKILL.md
│   ├── README.md
│   └── scripts/
│       └── detail.py
└── vipshop-promotion-search/        # 促销活动搜索子技能
    ├── SKILL.md
    └── scripts/
        └── promotion_search.py

使用示例

示例 1:搜索商品并查看详情

用户:搜索连衣裙

AI 处理流程

  1. 检测登录状态(自动)
  2. 如果未登录,自动触发 vipshop login 完成登录
  3. 执行 vipshop-product-search 搜索连衣裙
  4. 展示搜索结果(20 个商品)

用户:查询第3个商品

AI 处理流程

  1. 从上一次搜索结果中获取第3个商品的ID
  2. 执行 vipshop-product-detail 查询商品详情
  3. 展示商品详细信息

示例 2:浏览促销活动

用户:看看有什么促销活动

AI 处理流程

  1. 检测登录状态(自动)
  2. 如果未登录,自动触发 vipshop login 完成登录
  3. 执行 vipshop-promotion-search 搜索促销活动
  4. 展示活动列表

示例 3:查看商品详情

用户:查询商品详情 6921714935983149512

AI 处理流程

  1. 检测登录状态(自动)
  2. 如果未登录,自动触发 vipshop login 完成登录
  3. 执行 vipshop-product-detail 查询商品详情
  4. 展示商品详细信息(价格、品牌、服务保障等)

技术架构

登录态管理

  • 登录态存储:~/.vipshop-user-login/tokens.json
  • 所有子技能自动读取登录态
  • 登录态过期时自动触发重新登录

数据格式

  • 所有 CLI 命令输出统一格式 JSON 数据
  • AI 自动解析并格式化展示
  • 支持多种输出格式(Markdown 表格、纯文本)

异常处理

  • 网络异常自动重试
  • 接口失败降级处理
  • 登录态失效自动重新登录

开发规范

新增子技能

如需新增子技能,请遵循以下规范:

  1. vipshop-skills/ 目录下创建新的子目录
  2. 创建 SKILL.md 文件,包含完整的技能说明
  3. 使用 CLI 命令行执行
  4. 在本文件的"包含的子技能"部分添加说明
  5. 确保支持自动登录触发机制

命名规范

  • 目录名:vipshop-<功能名>(使用小写字母和连字符)
  • 命令名:使用 CLI 形式,如 search-product
  • Skill 名称:与目录名一致

注意事项

  1. 登录要求:所有子技能使用前必须完成登录
  2. 自动登录:AI 会自动检测登录状态并触发登录流程
  3. 登录态过期:登录态过期时会自动重新登录
  4. 网络要求:需要正常网络连接
  5. 依赖管理:各子技能可能有不同的依赖要求,详见各自的 requirements.txt

未来规划

  • 添加购物车管理功能
  • 添加订单查询功能
  • 添加收藏夹管理功能
  • 添加价格监控功能
  • 添加商品推荐功能

常见问题

Q: 如何使用这个技能集合? A: 直接向 AI 提出购物需求即可,AI 会自动选择合适的子技能并执行。例如:"搜索连衣裙"、"查询商品详情 6921714935983149512"。

Q: 需要手动登录吗? A: 不需要。当检测到未登录时,AI 会自动触发登录流程,您只需扫码确认即可。

Q: 如何查看当前登录状态? A: 向 AI 说"查看登录状态"即可。

Q: 如何退出登录? A: 向 AI 说"退出唯品会"即可。

Q: 各子技能之间有什么关系? A: 它们是独立的技能,但共享登录态。通常的使用流程是:登录 → 搜索商品 → 查看详情 → 浏览活动。

Q: 可以同时使用多个子技能吗? A: 可以。AI 会根据您的需求自动选择和组合多个子技能。例如:搜索商品后,您可以直接查询某个商品的详情。

Comments

Loading comments...