← 返回 Skills 市场
81
总下载
0
收藏
0
当前安装
2
版本数
在 OpenClaw 中安装
/install vipshop-img-product
功能描述
唯品会(vip.com)图片搜索商品技能。当用户想通过图片搜索相似商品时触发,包括但不限于:以图搜图、拍照搜商品、图片搜索、找同款等。返回商品名称、价格、品牌、图片、链接等结构化信息。
安全使用建议
要点与建议:
1) 该技能会读取你主目录下的 ~/.vipshop-user-login/tokens.json 并使用其中的 PASSPORT_ACCESS_TOKEN(mars_cid)去调用唯品会接口以及生成带签名的 exchange 链接(链接参数 dt 包含 base64 的 token)。但安装元数据没有声明对此本地文件或凭证的需求——这是不一致的。
2) 展示策略风险:SKILL.md 要求“必须完整展示”脚本返回的所有数据,可能导致包含 token 的链接或其它敏感字段被显示/复制/外发,从而泄露凭证。
3) 代码中有硬编码的 secret 与 API_KEY:这会增加滥用风险(若代码泄露或被篡改,攻击面扩大)。
安装前的建议操作:
- 仅在完全信任技能作者且了解脚本源码的情况下安装并运行;如果不信任,拒绝安装或在隔离环境(受限容器或临时用户)中测试。
- 审查 ~/.vipshop-user-login/tokens.json 的内容与权限,确认其中不包含其它复用凭证;考虑使用仅用于此用途的低权限/测试账号。
- 如果你必须使用,最好在隔离环境中运行脚本并避免将输出(尤其是包含商品链接的原始 JSON)公开或粘贴到不受信任的位置。
- 考虑要求作者/维护者:把硬编码 secret 和 API_KEY 改为可配置且不暴露在代码中,并在 SKILL.md 中明确列出对本地 token 的必要性与使用/保护策略。
总体结论:功能与“图片搜索”目的大体一致,但因未声明的本地凭证访问、硬编码密钥与强制完整展示返回数据的规则导致敏感信息被泄露的可能性,建议在信任源或采取缓解措施前不要在主账户环境中直接启用。
功能分析
Type: OpenClaw Skill
Name: vipshop-img-product
Version: 1.0.1
The skill bundle provides legitimate functionality for searching products on Vipshop (vip.com) using images. It includes scripts for uploading images, identifying categories, and retrieving product lists via official Vipshop APIs (e.g., mapi-pc.vip.com). While it accesses sensitive session tokens from `~/.vipshop-user-login/tokens.json`, this data is used exclusively to authenticate requests to Vipshop domains and to generate signed product links using a hardcoded HMAC secret in `exchange_link_builder.py`. No evidence of data exfiltration to third-party domains, malicious execution, or harmful prompt injection was found.
能力标签
能力评估
Purpose & Capability
技能名与描述(唯品会图片搜索)和脚本实际行为总体匹配:上传图片、调用唯品会图片分类和商品检索接口并返回结构化结果。但脚本还会读取用户的登录态文件 (~/.vipshop-user-login/tokens.json) 并用其中的 PASSPORT_ACCESS_TOKEN 生成带签名的 exchange 链接,这超出了描述中未明确声明的本地凭证访问细节。生成 exchange 链接使用了代码内硬编码的 secret,虽然可解释为为了生成跳转链接,但硬编码密钥/token 处理值得注意。
Instruction Scope
SKILL.md 明确要求检测并读取 ~/.vipshop-user-login/tokens.json,未登录则自动触发另一个 skill 登录;并强制“必须完整展示”脚本返回的所有数据。由于脚本生成的商品链接包含对用户 token 的 base64 编码(dt 参数),以及脚本会输出“原始数据”,强制完整展示可能把敏感登录信息间接暴露给用户会话或被复制/转发,造成凭证泄露风险。
Install Mechanism
这是一个 instruction-only 技能(无安装规范),包含 Python 脚本并要求以 python3 运行。没有下载外部二进制或运行不明来源的安装步骤,磁盘写入行为仅限于读取/解析本地 token 与图片文件,风险相对较低。
Credentials
metadata 未声明任何环境变量或配置路径,但 SKILL.md 和脚本均明确依赖并读取特定本地路径 (~/.vipshop-user-login/tokens.json)。此外脚本内有硬编码的 API_KEY 和一个 hard-coded secret(用于 HMAC 签名)。请求访问本地 tokens.json 并把 token 用于生成对外链接,与技能元数据不一致,且未向用户明确说明将如何使用/保护这些凭证。
Persistence & Privilege
技能没有设置 always:true,也没有声明修改其他技能或系统设置。它会在检测到未登录时自动触发 vipshop-user-login skill(SKILL.md 要求),但这是技能描述的一部分且与功能相关。单独的自主调用未构成额外权限问题,但与读取本地 token 的组合增加了风险范围。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install vipshop-img-product - 安装完成后,直接呼叫该 Skill 的名称或使用
/vipshop-img-product触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.1
vipshop-img-product 1.0.1
- 明确登录流程,要求未登录情况下自动触发 `vipshop-user-login` skill 并继续搜索。
- 强化输出规范,必须完整展示全部商品数据,不可只展示部分记录。
- 输出表格样式优化,商品名需带 Markdown 链接,不再展示商品链接为独立一栏。
- 调整每页搜索结果数量为最多 10 个,相关分页参数说明同步更新。
- 明确强调不得对返回数据进行截断、省略或省略字段。
v1.0.0
vipshop-img-product 1.0.0 – Initial Release
- Enables product search on vip.com by uploading a local image to find similar items.
- Returns structured results: product name, price, brand, promo details, images, and purchase link.
- Supports common image formats (jpg, jpeg, png, gif, bmp, webp).
- Requires user login via vipshop-user-login; triggers login automatically if needed.
- Pagination supported via pageToken for viewing more results.
- Results include easy-to-view, formatted summaries and direct action prompts.
元数据
常见问题
唯品会图片搜索 是什么?
唯品会(vip.com)图片搜索商品技能。当用户想通过图片搜索相似商品时触发,包括但不限于:以图搜图、拍照搜商品、图片搜索、找同款等。返回商品名称、价格、品牌、图片、链接等结构化信息。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 81 次。
如何安装 唯品会图片搜索?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install vipshop-img-product」即可一键安装,无需额外配置。
唯品会图片搜索 是免费的吗?
是的,唯品会图片搜索 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
唯品会图片搜索 支持哪些平台?
唯品会图片搜索 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 唯品会图片搜索?
由 vip(@vip)开发并维护,当前版本 v1.0.1。
推荐 Skills