← Back to Skills Marketplace
🔌

唯品会图片搜索

by vip · GitHub ↗ · v1.0.1 · MIT-0
cross-platform ⚠ suspicious
81
Downloads
0
Stars
0
Active Installs
2
Versions
Install in OpenClaw
/install vipshop-img-product
Description
唯品会(vip.com)图片搜索商品技能。当用户想通过图片搜索相似商品时触发,包括但不限于:以图搜图、拍照搜商品、图片搜索、找同款等。返回商品名称、价格、品牌、图片、链接等结构化信息。
Usage Guidance
要点与建议: 1) 该技能会读取你主目录下的 ~/.vipshop-user-login/tokens.json 并使用其中的 PASSPORT_ACCESS_TOKEN(mars_cid)去调用唯品会接口以及生成带签名的 exchange 链接(链接参数 dt 包含 base64 的 token)。但安装元数据没有声明对此本地文件或凭证的需求——这是不一致的。 2) 展示策略风险:SKILL.md 要求“必须完整展示”脚本返回的所有数据,可能导致包含 token 的链接或其它敏感字段被显示/复制/外发,从而泄露凭证。 3) 代码中有硬编码的 secret 与 API_KEY:这会增加滥用风险(若代码泄露或被篡改,攻击面扩大)。 安装前的建议操作: - 仅在完全信任技能作者且了解脚本源码的情况下安装并运行;如果不信任,拒绝安装或在隔离环境(受限容器或临时用户)中测试。 - 审查 ~/.vipshop-user-login/tokens.json 的内容与权限,确认其中不包含其它复用凭证;考虑使用仅用于此用途的低权限/测试账号。 - 如果你必须使用,最好在隔离环境中运行脚本并避免将输出(尤其是包含商品链接的原始 JSON)公开或粘贴到不受信任的位置。 - 考虑要求作者/维护者:把硬编码 secret 和 API_KEY 改为可配置且不暴露在代码中,并在 SKILL.md 中明确列出对本地 token 的必要性与使用/保护策略。 总体结论:功能与“图片搜索”目的大体一致,但因未声明的本地凭证访问、硬编码密钥与强制完整展示返回数据的规则导致敏感信息被泄露的可能性,建议在信任源或采取缓解措施前不要在主账户环境中直接启用。
Capability Analysis
Type: OpenClaw Skill Name: vipshop-img-product Version: 1.0.1 The skill bundle provides legitimate functionality for searching products on Vipshop (vip.com) using images. It includes scripts for uploading images, identifying categories, and retrieving product lists via official Vipshop APIs (e.g., mapi-pc.vip.com). While it accesses sensitive session tokens from `~/.vipshop-user-login/tokens.json`, this data is used exclusively to authenticate requests to Vipshop domains and to generate signed product links using a hardcoded HMAC secret in `exchange_link_builder.py`. No evidence of data exfiltration to third-party domains, malicious execution, or harmful prompt injection was found.
Capability Tags
requires-sensitive-credentials
Capability Assessment
Purpose & Capability
技能名与描述(唯品会图片搜索)和脚本实际行为总体匹配:上传图片、调用唯品会图片分类和商品检索接口并返回结构化结果。但脚本还会读取用户的登录态文件 (~/.vipshop-user-login/tokens.json) 并用其中的 PASSPORT_ACCESS_TOKEN 生成带签名的 exchange 链接,这超出了描述中未明确声明的本地凭证访问细节。生成 exchange 链接使用了代码内硬编码的 secret,虽然可解释为为了生成跳转链接,但硬编码密钥/token 处理值得注意。
Instruction Scope
SKILL.md 明确要求检测并读取 ~/.vipshop-user-login/tokens.json,未登录则自动触发另一个 skill 登录;并强制“必须完整展示”脚本返回的所有数据。由于脚本生成的商品链接包含对用户 token 的 base64 编码(dt 参数),以及脚本会输出“原始数据”,强制完整展示可能把敏感登录信息间接暴露给用户会话或被复制/转发,造成凭证泄露风险。
Install Mechanism
这是一个 instruction-only 技能(无安装规范),包含 Python 脚本并要求以 python3 运行。没有下载外部二进制或运行不明来源的安装步骤,磁盘写入行为仅限于读取/解析本地 token 与图片文件,风险相对较低。
Credentials
metadata 未声明任何环境变量或配置路径,但 SKILL.md 和脚本均明确依赖并读取特定本地路径 (~/.vipshop-user-login/tokens.json)。此外脚本内有硬编码的 API_KEY 和一个 hard-coded secret(用于 HMAC 签名)。请求访问本地 tokens.json 并把 token 用于生成对外链接,与技能元数据不一致,且未向用户明确说明将如何使用/保护这些凭证。
Persistence & Privilege
技能没有设置 always:true,也没有声明修改其他技能或系统设置。它会在检测到未登录时自动触发 vipshop-user-login skill(SKILL.md 要求),但这是技能描述的一部分且与功能相关。单独的自主调用未构成额外权限问题,但与读取本地 token 的组合增加了风险范围。
How to Use
  1. Make sure OpenClaw is installed (local or Docker)
  2. Run the install command in chat: /install vipshop-img-product
  3. After installation, invoke the skill by name or use /vipshop-img-product
  4. Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.1
vipshop-img-product 1.0.1 - 明确登录流程,要求未登录情况下自动触发 `vipshop-user-login` skill 并继续搜索。 - 强化输出规范,必须完整展示全部商品数据,不可只展示部分记录。 - 输出表格样式优化,商品名需带 Markdown 链接,不再展示商品链接为独立一栏。 - 调整每页搜索结果数量为最多 10 个,相关分页参数说明同步更新。 - 明确强调不得对返回数据进行截断、省略或省略字段。
v1.0.0
vipshop-img-product 1.0.0 – Initial Release - Enables product search on vip.com by uploading a local image to find similar items. - Returns structured results: product name, price, brand, promo details, images, and purchase link. - Supports common image formats (jpg, jpeg, png, gif, bmp, webp). - Requires user login via vipshop-user-login; triggers login automatically if needed. - Pagination supported via pageToken for viewing more results. - Results include easy-to-view, formatted summaries and direct action prompts.
Metadata
Slug vipshop-img-product
Version 1.0.1
License MIT-0
All-time Installs 0
Active Installs 0
Total Versions 2
Frequently Asked Questions

What is 唯品会图片搜索?

唯品会(vip.com)图片搜索商品技能。当用户想通过图片搜索相似商品时触发,包括但不限于:以图搜图、拍照搜商品、图片搜索、找同款等。返回商品名称、价格、品牌、图片、链接等结构化信息。 It is an AI Agent Skill for Claude Code / OpenClaw, with 81 downloads so far.

How do I install 唯品会图片搜索?

Run "/install vipshop-img-product" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.

Is 唯品会图片搜索 free?

Yes, 唯品会图片搜索 is completely free, licensed under MIT-0. You can download, install and use it at no cost.

Which platforms does 唯品会图片搜索 support?

唯品会图片搜索 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).

Who created 唯品会图片搜索?

It is built and maintained by vip (@vip); the current version is v1.0.1.

More Skills
self-improving agent
Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Clau...
⬇ 463815 · by pskoett
Skill Vetter
Security-first skill vetting for AI agents. Use before installing any skill from ClawdHub, GitHub, or other sources. Checks for red flags, permission scope, and suspicious patterns.
⬇ 259802 · by spclaudehome
Polymarket
Query Polymarket prediction markets. Check odds, find trending markets, search events, track price movements.
⬇ 232503 · by joelchance
Self-Improving + Proactive Agent
Self-reflection + Self-criticism + Self-learning + Self-organizing memory. Agent evaluates its own work, catches mistakes, and improves permanently. Use when...
⬇ 200680 · by ivangdavila
Github
Interact with GitHub using the `gh` CLI. Use `gh issue`, `gh pr`, `gh run`, and `gh api` for issues, PRs, CI runs, and advanced queries.
⬇ 191345 · by steipete
ontology
Typed knowledge graph for structured agent memory and composable skills. Use when creating/querying entities (Person, Project, Task, Event, Document), linkin...
⬇ 190333 · by oswalpalash

💬 Comments