← Back to Skills Marketplace
215
Downloads
0
Stars
0
Active Installs
1
Versions
Install in OpenClaw
/install xhs-crawler-xie
Description
基于Python模拟浏览器搜索小红书关键词,自动管理Cookie并将搜索结果以卡片形式推送到飞书群。
Usage Guidance
简明建议:
1) 不要直接以默认配置运行。包内含有硬编码的 FEISHU_APP_ID/APP_SECRET、FEISHU_CHAT_ID 和 cookie.txt 示例——在运行前请删除或替换为你自己的凭证,并确保这些凭证属于你的飞书应用/群组。
2) 把敏感配置从源码移出,改用环境变量或受控配置(例如 FEISHU_APP_ID/FEISHU_APP_SECRET/FEISHU_CHAT_ID),并在技能元数据中声明所需的环境变量以便审查。
3) 在受控/隔离环境中(如虚拟机或容器)先进行测试,避免直接在含有个人浏览器数据或重要凭证的主机上运行。默认 XHS_USER_DATA_DIR 会在主目录下创建 profile 并可能写入 cookie,谨防覆盖或泄露其它数据。
4) 删除或重置包内的 cookie.txt(示例 cookie 可能是有效的),不要复用作者提供的 cookie;如果你发现包内凭证确实可用,最好不要使用该 Skill 并联系发布者核实来源。
5) 在允许 Skill 自动发送二维码/截图到飞书前,确认目标飞书应用和群聊归你或你的组织管理,避免向第三方暴露扫码登录流程或自动化产出的数据。
6) 若需进一步判断安全性,请向发布者索要:维护者身份、凭证归属说明、是否有后端回传或收集日志/数据的远端服务(包内未见远程上报点但硬编码凭证可能指向外部控制的应用)。
Capability Analysis
Type: OpenClaw Skill
Name: xhs-crawler-xie
Version: 1.0.0
The skill bundle contains hardcoded sensitive credentials, including a Feishu App Secret (FEISHU_APP_SECRET) in 'config.py' and a specific destination Chat ID (FEISHU_CHAT_ID) in 'example_openclaw_skill.py'. It also includes a 'cookie.txt' file containing an active session string, which is a significant security risk. While the code appears to perform its stated function of crawling Xiaohongshu and sending results to Feishu, the hardcoding of secrets and a fixed destination ID could lead to unauthorized data redirection or exposure of the bot's identity.
Capability Assessment
Purpose & Capability
名为“小红书爬虫”的 Skill 的代码和文档确实实现了浏览器模拟搜索、Cookie 管理和向飞书推送,功能声明与实现一致;但包内硬编码了 FEISHU_APP_ID、FEISHU_APP_SECRET 和 FEISHU_CHAT_ID(同时 SKILL.md 也示例填写了这些值),并且包含一个 cookie.txt 文件。技能元数据声明“无需环境变量/凭证”,但运行时实际上需要或会使用这些敏感凭证或示例 cookie —— 这是不一致且可导致敏感数据泄露或误导用户使用他人凭证。
Instruction Scope
SKILL.md 与代码指示 Agent/用户:访问本地 Chrome 用户数据目录、截取二维码并将截图发送到飞书群、自动从浏览器提取并保存 Cookie、在检测到 Cookie 失效时自动触发二维码登录并等待扫码。指令范围包含读取/保存 Cookie(本地文件)、访问用户家目录下的 profile 目录并将登录相关图片/通知发往飞书第三方服务——这些动作超出普通“只读查询”的范围,且若使用默认配置会把登录流程和爬取结果与包内硬编码的飞书凭证/群组绑定,存在把敏感运行时信息或用户操作流量指向第三方的风险。
Install Mechanism
无 install spec,仅源码/脚本随包分发(低到中等风险)。需要用户手动安装 Playwright 与 chromium(文档有说明),没有从不可信 URL 下载代码或在安装阶段执行远程脚本,包内没有可疑下载器。总体安装机制本身没有高风险的远程安装步骤。
Credentials
注册表显示不需要环境变量或凭证,但 config.py 硬编码了 FEISHU_APP_ID、FEISHU_APP_SECRET 与 FEISHU_CHAT_ID,且包内包含 cookie.txt(包含可用的 cookie 字符串示例/真实值)。这些都是高度敏感信息:如果用户直接使用默认配置,程序会尝试用这些凭证与作者/原包维护者控制的飞书应用/群聊通信,或导入/复用提供的 cookie。换言之,实际运行所需的敏感凭据没有通过 requires.env 声明,而是以不透明且危险的方式放在源码和示例文件中。
Persistence & Privilege
没有设置 always: true、也没有修改其他技能或系统级配置。Skill 会在运行时写入日志和 cookie.txt 到 skill 目录并在用户主目录下创建/使用 XHS_USER_DATA_DIR(默认为 ~/xhs_chrome_profile),这些是权限要求常见且与功能相关的本地写入操作。agent 自动调用是允许的(disable-model-invocation=false),但这与其它发现结合时建议谨慎授予。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install xhs-crawler-xie - After installation, invoke the skill by name or use
/xhs-crawler-xie - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.0
xhs-crawler-xie 1.0.0
- 首发版本,基于Python,实现小红书关键词笔记爬取并推送到飞书群
- 支持通过浏览器模拟抓取,可绕过API限制
- 自动管理Cookie,支持失效时二维码登录提醒
- 飞书集成,支持以卡片形式推送笔记抓取结果
- 提供简单指令(run-xhs:关键词),易于在飞书群调用
Metadata
Frequently Asked Questions
What is Openclaw封装Skill?
基于Python模拟浏览器搜索小红书关键词,自动管理Cookie并将搜索结果以卡片形式推送到飞书群。 It is an AI Agent Skill for Claude Code / OpenClaw, with 215 downloads so far.
How do I install Openclaw封装Skill?
Run "/install xhs-crawler-xie" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is Openclaw封装Skill free?
Yes, Openclaw封装Skill is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does Openclaw封装Skill support?
Openclaw封装Skill is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created Openclaw封装Skill?
It is built and maintained by xie07418 (@xie07418); the current version is v1.0.0.
More Skills