ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Openclaw封装Skill

基于Python模拟浏览器搜索小红书关键词,自动管理Cookie并将搜索结果以卡片形式推送到飞书群。

MIT-0 · Free to use, modify, and redistribute. No attribution required.
0 · 81 · 0 current installs · 0 all-time installs
by@xie07418
MIT-0
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
名为“小红书爬虫”的 Skill 的代码和文档确实实现了浏览器模拟搜索、Cookie 管理和向飞书推送,功能声明与实现一致;但包内硬编码了 FEISHU_APP_ID、FEISHU_APP_SECRET 和 FEISHU_CHAT_ID(同时 SKILL.md 也示例填写了这些值),并且包含一个 cookie.txt 文件。技能元数据声明“无需环境变量/凭证”,但运行时实际上需要或会使用这些敏感凭证或示例 cookie —— 这是不一致且可导致敏感数据泄露或误导用户使用他人凭证。
!
Instruction Scope
SKILL.md 与代码指示 Agent/用户:访问本地 Chrome 用户数据目录、截取二维码并将截图发送到飞书群、自动从浏览器提取并保存 Cookie、在检测到 Cookie 失效时自动触发二维码登录并等待扫码。指令范围包含读取/保存 Cookie(本地文件)、访问用户家目录下的 profile 目录并将登录相关图片/通知发往飞书第三方服务——这些动作超出普通“只读查询”的范围,且若使用默认配置会把登录流程和爬取结果与包内硬编码的飞书凭证/群组绑定,存在把敏感运行时信息或用户操作流量指向第三方的风险。
Install Mechanism
无 install spec,仅源码/脚本随包分发(低到中等风险)。需要用户手动安装 Playwright 与 chromium(文档有说明),没有从不可信 URL 下载代码或在安装阶段执行远程脚本,包内没有可疑下载器。总体安装机制本身没有高风险的远程安装步骤。
!
Credentials
注册表显示不需要环境变量或凭证,但 config.py 硬编码了 FEISHU_APP_ID、FEISHU_APP_SECRET 与 FEISHU_CHAT_ID,且包内包含 cookie.txt(包含可用的 cookie 字符串示例/真实值)。这些都是高度敏感信息:如果用户直接使用默认配置,程序会尝试用这些凭证与作者/原包维护者控制的飞书应用/群聊通信,或导入/复用提供的 cookie。换言之,实际运行所需的敏感凭据没有通过 requires.env 声明,而是以不透明且危险的方式放在源码和示例文件中。
Persistence & Privilege
没有设置 always: true、也没有修改其他技能或系统级配置。Skill 会在运行时写入日志和 cookie.txt 到 skill 目录并在用户主目录下创建/使用 XHS_USER_DATA_DIR(默认为 ~/xhs_chrome_profile),这些是权限要求常见且与功能相关的本地写入操作。agent 自动调用是允许的(disable-model-invocation=false),但这与其它发现结合时建议谨慎授予。
What to consider before installing
简明建议: 1) 不要直接以默认配置运行。包内含有硬编码的 FEISHU_APP_ID/APP_SECRET、FEISHU_CHAT_ID 和 cookie.txt 示例——在运行前请删除或替换为你自己的凭证,并确保这些凭证属于你的飞书应用/群组。 2) 把敏感配置从源码移出,改用环境变量或受控配置(例如 FEISHU_APP_ID/FEISHU_APP_SECRET/FEISHU_CHAT_ID),并在技能元数据中声明所需的环境变量以便审查。 3) 在受控/隔离环境中(如虚拟机或容器)先进行测试,避免直接在含有个人浏览器数据或重要凭证的主机上运行。默认 XHS_USER_DATA_DIR 会在主目录下创建 profile 并可能写入 cookie,谨防覆盖或泄露其它数据。 4) 删除或重置包内的 cookie.txt(示例 cookie 可能是有效的),不要复用作者提供的 cookie;如果你发现包内凭证确实可用,最好不要使用该 Skill 并联系发布者核实来源。 5) 在允许 Skill 自动发送二维码/截图到飞书前,确认目标飞书应用和群聊归你或你的组织管理,避免向第三方暴露扫码登录流程或自动化产出的数据。 6) 若需进一步判断安全性,请向发布者索要:维护者身份、凭证归属说明、是否有后端回传或收集日志/数据的远端服务(包内未见远程上报点但硬编码凭证可能指向外部控制的应用)。
index.js:124
Shell command execution detected (child_process).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

Current versionv1.0.0
Download zip
latestvk97ey5fdvvygen73mhyjbxdx1d834xze

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

SKILL.md

小红书爬虫 Skill

功能描述

基于Python的小红书关键词爬取工具,支持搜索和抓取小红书笔记内容,自动推送到飞书群。

核心特性

  • 浏览器模拟搜索 - 绕过API限制,搜索成功率更高
  • Cookie自动管理 - 过期自动触发二维码登录
  • 飞书集成 - 结果自动以卡片形式推送到飞书群
  • 指令识别 - 支持 run-xhs:关键词 格式指令

命令列表

run-xhs

执行小红书关键词爬取

语法: run-xhs <关键词>

示例:

  • run-xhs 新燕宝2025 - 搜索"新燕宝2025"相关笔记
  • run-xhs 中间带新燕宝 - 搜索"中间带新燕宝"相关笔记

说明:

  • 默认返回5条笔记
  • 搜索时间约10-30秒
  • 结果自动发送到飞书群

xhs-help

显示帮助信息

示例: xhs-help

环境要求

Python环境

  • Python 3.8+
  • 依赖包: 
    pip install playwright requests
playwright install chromium

配置文件

config.py 中配置以下参数:

# 飞书应用凭证(必填)
FEISHU_APP_ID = "cli_a924d921ce7a9cbd"
FEISHU_APP_SECRET = "5QG92Lp8kvhAkgpPJTd57fIxshnCebEt"

# 群聊ID(在example_openclaw_skill.py中配置)
FEISHU_CHAT_ID = "oc_29fbba0871ab7371a4c1a1ebe0350dac"

OpenClaw配置

方式1:通过配置文件添加(推荐)

在 OpenClaw 的 config/default.json 中添加:

{
    "skills": [
        {
            "name": "xhs-crawler",
            "type": "local",
            "path": "D:\\pycharm\\projects\\小红书关键词爬取\\openclaw封装skill",
            "config": {
                "pythonEnv": "python"
            }
        }
    ]
}

注意path 应该指向 Skill 文件夹,而不是 index.js 文件。

方式2:通过 OpenClaw 命令行安装

# 在 OpenClaw 目录下执行
openclaw skill install D:\pycharm\projects\小红书关键词爬取\openclaw封装skill

工作流程

用户飞书输入: run-xhs 新燕宝2025
    ↓
OpenClaw 接收指令
    ↓
调用 example_openclaw_skill.py "run-xhs:新燕宝2025"
    ↓
解析指令 → 提取关键词
    ↓
检查Cookie有效性
    ↓
├── Cookie有效 → 继续搜索
└── Cookie失效 → 自动二维码登录
        ↓
    截图发送到飞书群
        ↓
    用户手机扫码登录
        ↓
    自动保存Cookie
        ↓
浏览器搜索小红书
    ↓
提取笔记信息(标题、链接、作者、点赞数)
    ↓
发送结果卡片到飞书群

文件结构

openclaw封装skill/
├── index.js                      # OpenClaw Skill入口
├── package.json                  # Node.js项目配置
├── example_openclaw_skill.py     # Python主程序
├── config.py                     # 配置文件
├── feishu_app_bot.py            # 飞书应用机器人
├── cookie_manager.py            # Cookie管理
├── auto_login_with_qrcode.py    # 自动二维码登录
├── xhs_search_with_browser.py   # 浏览器搜索
└── SKILL.md                     # 本文档

使用示例

1. 命令行测试

cd "D:\pycharm\projects\小红书关键词爬取\openclaw封装skill"
python example_openclaw_skill.py "run-xhs:新燕宝2025"

2. OpenClaw集成后飞书使用

run-xhs 新燕宝2025

飞书群将收到:

📱 小红书搜索报告

关键词: 新燕宝2025
共找到: 5 条笔记
时间: 2026-03-18 11:09

1. 0岁宝宝疫苗儿保一站式搞定...
   熙熙妈宝藏分享 | 👍 187
   [查看笔记]

2. 新燕宝·开年福利降免赔额...
   中间带新燕宝 | 👍 20
   [查看笔记]

...

注意事项

  1. 首次使用:需要先运行 python login.py 手动登录一次,保存Cookie
  2. Cookie过期:程序会自动检测并发送二维码到飞书群,扫码后即可继续
  3. IP风控:如遇"IP存在风险"错误,请切换网络或等待2-4小时
  4. 搜索频率:已设置防风控机制,请求间隔2-5秒

故障排查

问题解决方法
搜索不到结果尝试更换关键词,如"新燕宝2025"代替"新燕宝"
Cookie频繁失效正常现象,程序会自动触发重新登录
飞书收不到消息检查App ID、App Secret、群聊ID是否正确
IP被风控切换手机热点,或等待2-4小时

更新日志

日期版本更新内容
2026-03-181.0.0初始版本,完整功能实现

Files

15 total
Select a file
Select a file to preview.

Comments

Loading comments…