Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
Capability signals
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
OpenClaw
Benign
high confidencePurpose & Capability
技能名称/描述与包含的脚本和功能一致:scripts/crypto.py 和 scripts/crypto.sh 调用官方 CoinGecko API 获取价格、排行和搜索结果。没有要求与功能不符的凭据或外部服务。
Instruction Scope
SKILL.md 明确限定为价格、市场数据、趋势和新闻查询;说明没有指示读取用户其他文件、环境变量或将数据传输到 CoinGecko 以外的端点。脚本仅向 api.coingecko.com 发起请求并格式化输出。
Install Mechanism
无安装说明(instruction-only),也没有从不可信源下载或解压代码。包含的脚本已随包提供,没有运行时进行远程安装的行为。总体安装风险低。
Credentials
技能不要求任何环境变量或凭据,符合其公开用途。但脚本隐含依赖运行环境:python3、requests 库(python 脚本)以及 curl 和 python3(shell 脚本)。清单中未声明这些运行时依赖,是一个小的不一致(应在元数据中列出要求的二进制/库)。脚本本身未访问敏感环境变量或凭据。
Persistence & Privilege
没有请求始终启用(always:false),也未修改其他技能或系统配置。技能不会自行持久化凭据或写入系统配置。
Assessment
该技能总体上是自洽的:它只调用 CoinGecko 官方 API 来获取行情数据,不要求任何凭据或可疑外部端点。安装前请注意:
- 运行此技能需要 python3 和 requests 库(以及 shell 版本需要 curl 和 python3);确保运行环境具备这些依赖或在技能元数据中补充声明。
- 技能会向外网(api.coingecko.com)发起请求;如果您在受限网络或对流量隐私敏感,请确认允许此类外部访问。
- 脚本易于审计,未见数据外泄或隐藏端点;如果您仍担忧,手动查看并运行脚本以验证输出行为。
- 考虑增加在元数据中声明的运行时依赖和使用限制(例如请求速率)以减少误用风险。
总体来说没有发现不成比例的权限请求或恶意行为。Like a lobster shell, security has layers — review code before you run it.
latestvk976h58vpqtb3e8jhpatf8da7984a24m
License
MIT-0
Free to use, modify, and redistribute. No attribution required.