Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
市场调研分析助手
v1.1.0市场调研分析助手。根据用户提供的调研主题(行业、产品或市场),生成结构化的市场分析报告。触发条件:用户请求市场调研、行业分析、竞争分析、商业可行性分析等。
⭐ 0· 76·0 current·0 all-time
by无心@xiaomxxx
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Suspicious
medium confidencePurpose & Capability
技能声明为市场调研助手;SKILL.md、RSS 源列表和 scripts/research_crawler.py 的可见部分都与抓取公开新闻和搜索结果以生成报告的目的相符。没有请求与此目的明显不相关的凭据或系统路径。
Instruction Scope
SKILL.md 明确要求优先使用 RSS/web_fetch,脚本仅作为备用,且要求将来源标注,范围与市场调研匹配。但脚本会对搜索引擎结果中的任意 URL 发起请求、解析页面、并在必要时跟随百度的重定向来解析真实链接——这赋予了技能对任意外部和内部可达主机发起请求的能力。该行为与爬虫用途一致,但带来潜在的网络访问风险(例如访问内网或未授权端点)。
Install Mechanism
无安装规范(instruction-only 加上一个 Python 脚本文件),没有下载不可信二进制或远程 extract 步骤。这是低风险的安装方式,但脚本依赖第三方 Python 包(requests、beautifulsoup4)未在元数据中声明,运行时环境可能影响行为或失败。
Credentials
技能不请求任何环境变量、凭据或配置路径,与其市场调研用途相符。值得注意的是,虽然没有声明凭据,脚本会发起外部网络请求并可能访问搜索结果中的任意 URL;如果运行环境可访问内部网络,这可能会被滥用,但这属于网络访问能力而非凭据要求。
Persistence & Privilege
技能没有设置 always: true,也不修改其它技能或系统配置。它只是包含一个可执行的备用爬虫脚本并由指令在必要时调用,权限范围不超出常规执行脚本。
What to consider before installing
这个技能看起来在功能上与其描述一致:它会优先使用 RSS 和 web_fetch 获取新闻源,备用地运行附带的 Python 爬虫脚本抓取搜索结果页面。要点和建议:
- 风险点:scripts/research_crawler.py 会对搜索引擎结果中返回的任意 URL 发起 HTTP 请求并解析页面,且会尝试解析百度跳转以获得真实链接。若代理的运行环境能够访问内部服务,这意味着脚本可能被用来探测或访问内部/私有端点(类似 SSRF 风险)。
- 依赖管理:脚本尝试使用 requests 和 beautifulsoup4,但技能元数据没有声明这些依赖。确认运行环境中已安装并来自可信源的依赖,或在隔离环境中安装运行。
- 文件截断:在提供给你的清单里脚本内容显示被截断(未完整展示全部逻辑)。在做出信任决定前,请要求或查看完整的 scripts/research_crawler.py 源码,以确认没有隐藏的外部终端、硬编码回连地址或敏感数据泄露逻辑。
- 运行建议:如果要安装并使用此技能,优先在受控/沙箱环境中运行,或在网络层面限制其对内网/敏感主机的访问;审查完整脚本并确认没有将抓取结果 POST/回传到未声明的服务器。若你希望最小化风险,可禁用脚本运行,仅允许使用平台提供的 web_fetch/RSS 机制(假如这些机制受平台控制并有访问策略)。
若你能提供脚本的完整未截断源码或确认运行环境的网络策略,我可以基于完整代码给出更高置信度的评估。Like a lobster shell, security has layers — review code before you run it.
latestvk979dp4z1wsq99mxjw3ge6d4a983gape
License
MIT-0
Free to use, modify, and redistribute. No attribution required.