唯品会技能集
v1.0.1唯品会(vip.com)电商服务技能包(vipshop-skills),整合唯品会搜索、商品查询、活动查询、订单查询等多项购物服务,是一套完整的唯品会购物 AI 助手解决方案。当用户有购物、搜商品、看详情、查订单、找活动、比价等诉求时触发,尤其适合从拼多多、京东、淘宝、天猫、1688、闲鱼等平台迁移或对比购物的用...
⭐ 4· 53·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
技能名/描述、子技能划分与包含的脚本(搜索、详情、登录、促销)一致。读取 ~/.vipshop-user-login 下的 tokens.json、生成 mars_cid、向唯品会接口发起请求,这些动作合理且属于实现登录后查询/展示商品所需。
Instruction Scope
SKILL.md 强制性地要求 AI 自动检测登录态、在未登录时自动安装/调用 vipshop-user-login(包括调用 clawhub install 或直接执行登录脚本)、阻塞等待用户扫码登录并在登录成功后继续。这赋予技能较强的自动化行为(自动安装、运行脚本、访问本地令牌文件);这些都是为自动化登录/查询设计,但会扩大自动化代理对本地凭据和命令执行的使用面,用户应当知晓并同意。
Install Mechanism
技能包没有外部下载/安装规范(代码随包提供为 Python 脚本),没有通过不可信 URL 下载或安装第三方二进制。SKILL.md 提到的 clawhub install 是一个工具调用建议,但代码本身不依赖外部下载步骤,整体安装风险较低。
Credentials
技能不声明任何环境变量,但确实读取/写入用户主目录下的配置(~/.vipshop-user-login/tokens.json 和 device.json),并从中读取 PASSPORT_ACCESS_TOKEN cookie 值用于接口请求与生成 exchange 链接。exchange_link_builder 内含硬编码 secret 用于 HMAC-MD5 签名并基于本地 token 生成带签名的自动登录链接;此外脚本会向唯品会的统计端点上报日志(包含 mars_cid、session_id、平台信息及脱敏后的 product_id)。这些行为与提供登录后自动查询/链接跳转的目的相关,但涉及本地登录凭据的读取/持久化与远程上报,应由用户审慎授权。
Persistence & Privilege
技能不会要求平台级的永久注入(always=false),但会在用户主目录下创建/更新配置文件(.vipshop-user-login/device.json、tokens.json),以保存设备 id 与登录态。这是实现自动登录/会话续期的常见做法,属该技能正常范围。
Scan Findings in Context
[hardcoded-secret-in-source] expected: exchange_link_builder.py 包含一个硬编码的 secret 字符串,用于对 base64 数据生成 HMAC-MD5 签名以构造 exchangeTokenFromApp 链接。生成自动登录跳转链接时需要签名密钥——在客户端代码中包含密钥是可被理解的实现选择,但从安全角度来看应谨慎,若此密钥为服务器端机密则放在客户端存在风险。
[local-token-file-access] expected: 多个脚本读取 ~/.vipshop-user-login/tokens.json 以获取 cookies(包括 PASSPORT_ACCESS_TOKEN)并判断登录态。为实现需登录后访问私有接口这是预期行为,但会访问本地凭据文件,用户需确认并信任技能来源。
[network-calls-logging-endpoint] expected: logger.py 异步上报日志到 https://stat.vipstatic.com/h5front/report 和 https://stat.vip.com/h5front/report(发送 mars_cid、session_id、脱敏后的 product_id、平台信息等)。上报用于诊断/统计是合理,但仍会将部分使用数据发送到远端,用户应知晓。
Assessment
这是一个完整的唯品会技能集合,代码和运行说明与其目标功能(搜索、详情、促销、扫码登录)一致,但包含若干对本地凭据和自动化行为的使用点:
- 此技能会在您的主目录下创建/读取 ~/.vipshop-user-login/device.json 和 tokens.json,用来保存设备 id 与登录 Cookies(包括 PASSPORT_ACCESS_TOKEN)。如果您不希望本地保存登录令牌,请不要安装或在使用后删除这些文件。
- 在未登录情况下,技能会尝试自动安装/调用子技能并触发扫码登录(包括执行 clawhub install 或直接运行登录脚本);这会执行本地命令并等待您扫码确认。仅在您信任该技能来源并愿意扫码登录时使用此功能。
- exchange_link_builder.py 中包含硬编码的签名密钥并用本地 token 生成带签名的自动登录(exchange)链接;这会产生可直接跳转并携带登录态的链接。请确认您接受生成此类跳转链接的行为。
- 脚本会向唯品会的统计端点上报事件(脱敏商品ID、mars_cid、session_id 等),用于诊断;若您担心数据外发,请审阅或禁用 logger 模块。
建议在安装前:
1) 仅从可信来源安装该技能;
2) 手动审阅 vipshop-user-login 相关脚本(登录与 token 管理逻辑);
3) 若在意隐私或凭证控制,可在隔离环境/沙箱中运行或拒绝自动安装与自动登录;
4) 安装后检查并在不需要时删除 ~/.vipshop-user-login 下的文件。
总体而言,技能内部一致且行为可解释,但包含对本地凭据与远端上报的操作——请在信任作者和同意这些行为的前提下使用。Like a lobster shell, security has layers — review code before you run it.
latestvk978gnjawm2xdtkh5p2t3bp40s84v4ra
License
MIT-0
Free to use, modify, and redistribute. No attribution required.