← 返回 Skills 市场
454
总下载
0
收藏
1
当前安装
1
版本数
在 OpenClaw 中安装
/install xianyu-auto-saler
功能描述
闲鱼自动发货框架 - 一个可扩展的闲鱼虚拟商品自动化发货系统。提供核心的付款检测逻辑,发货流程完全可自定义。 - 核心功能:自动检测买家付款(系统卡片识别) - 可扩展:支持任意发货方式(秘钥、链接、图片、文件、自定义API等) - 灵活配置:通过脚本或配置文件自定义发货逻辑 - 内置模板:提供多种常见发货场景的...
安全使用建议
要点与建议:
- 功能一致性:该包确实实现了“闲鱼自动发货”功能(页面快照、识别付款卡片、调用发货钩子、模板化发货)。
- 在运行前必须审阅:逐个打开并审查 fulfillment-templates/*、monitor 脚本与 quick-start 中生成/引用的 my-fulfillment.sh,确保没有植入你不希望自动运行的命令或网络请求。
- 小心 Chrome 配置文件(PROFILE):脚本要求使用你现有的 Chrome 配置以保留登录状态。那会暴露你的 cookies、会话和可能保存的凭据。为安全起见:
- 使用一个“干净”的/专用的 Chrome 用户配置文件(新建浏览器配置,仅用于此自动化),不要用包含其他站点会话或敏感账户的主配置。
- 不要以 root 身份运行这些脚本。将日志和 key 文件放在受控目录而非硬编码的其他用户目录。
- 修复硬编码路径:某些脚本含有 /Users/yuehuali/... 之类的绝对路径。部署前把它们改为相对路径或配置变量,避免无意读取/写入到开发者主目录。
- 检查和限制模板行为:发货模板被 source 后会在当前 shell 中执行任意命令。只使用你信任的模板,或在隔离环境(容器、专用虚拟机、专用用户)中运行,以限制潜在破坏范围。
- 审查外部 API/凭据:如果使用 API 发货模板(05-api-delivery.sh)或 Telegram 通知,确保 API_ENDPOINT 与 API_KEY 可被信任;避免把高权限或长期有效密钥写在脚本中,优先使用环境变量或短期凭证,并限制 API 的权限。
- 日志与密钥文件权限:keys.txt、used-keys.txt 与日志可能包含敏感数据(发货码、买家信息)。设置合适的文件权限(chmod 600)并避免把这些文件放入公开或同步目录。
- 兼容性与合规:自动化与模拟用户行为可能违反闲鱼/平台条款。确认这样做不违反目标平台的使用条款或法律。
- 可行的安全措施:在受控环境(专用浏览器配置、Docker/VM、专用系统用户)中测试;在部署前把 quick-start 的自动安装命令改为手动核准步骤;限制网络访问以防模板向未知域外泄密。
总结:如果你理解这些风险并采取上述缓解措施,该技能在功能上是连贯的;否则建议不要直接在包含敏感会话/凭据的主环境中运行。
功能分析
Type: OpenClaw Skill
Name: xianyu-auto-saler
Version: 1.0.0
The skill is designed for automated virtual goods fulfillment on Xianyu, using browser automation (`agent-browser`). While its core functionality is benign, it is classified as 'suspicious' due to several practices that introduce vulnerabilities, primarily in `quick-start.sh` and the general design. The `quick-start.sh` script generates a `monitor.sh` file that hardcodes the user-provided `SECRET_KEY` directly into the script, which is a significant security vulnerability (hardcoding secrets). Additionally, the main monitoring scripts (`monitor.sh`, `xianyu-monitor-agent.sh`) use `source` to load user-defined fulfillment scripts (`my-fulfillment.sh`). While the provided templates are benign, this pattern allows for arbitrary code execution if a user were to replace `my-fulfillment.sh` with a malicious script, making the skill's execution environment vulnerable to user-supplied code. There is no evidence of intentional malicious behavior (e.g., unauthorized data exfiltration, backdoors, or malicious prompt injection against the agent) by the skill developer, but these design choices create clear attack surfaces.
能力评估
Purpose & Capability
名称与描述与实际文件/脚本内容一致:目标是监控闲鱼聊天并在检测到付款卡片时自动调用用户定义的发货钩子。所用工具(agent-browser)与网页自动化需求匹配。异常之处是若干脚本使用了用户/开发者机器上的绝对路径(例如 /Users/yuehuali/...),这看起来像开发者环境遗留配置,应在部署前修正。
Instruction Scope
运行时说明和脚本会:打开真实 Chrome 配置文件(保留会话/cookie)、抓取页面快照、点击/输入、并 source(包含并执行)用户模板脚本。source 模板会执行任意 shell 代码——这是实现可扩展发货所必需的,但也意味着安装后任意模板(或被替换的 my-fulfillment.sh)可直接运行任意本地/网络操作。模板中还包含可向外部 API 发请求(curl),以及示例中出现的 API_KEY、Telegram token 等敏感字段(虽然可选)。这些行为超出简单“读取页面并发送消息”的边界,增加敏感数据暴露与滥用风险。
Install Mechanism
技能为 instruction-only,但 quick-start/README 会自动调用 npm install -g agent-browser 如果未安装。agent-browser 来自 npm:这是可追溯的常见方式,但全局安装会写入系统范围位置。没有通过未知外部二进制或下载任意压缩包的风险,未见短链或个人服务器下载。但请确认 agent-browser 来源可信并审阅它的权限。
Credentials
技能声明无需环境变量,但文档与配置样例中包含可选但敏感的配置项(API_KEY、TELEGRAM_BOT_TOKEN、TELEGRAM_CHAT_ID)。更重要的是,脚本要求使用真实 Chrome 配置文件(PROFILE),这会使脚本/agent 有机会访问浏览器会话数据、已登录站点的 cookies、可能的自动填充数据等——这对自动化闲鱼登录虽然有必要,但相对于技能目的这是高度敏感的访问。再者脚本会读写本地文件(keys.txt、used-keys.txt、日志),若路径为默认或硬编码,可能覆盖/读取非目标数据。
Persistence & Privilege
技能默认不被强制常驻(always:false)。它设计为长期运行的监控子代理/后台脚本(循环每60秒),并建议使用 OpenClaw 的子代理或在本地长期运行。长期/自动化运行本身是合理的,但当结合自动浏览器会话与访问 Chrome 配置文件时,长期驻留扩大会话级别的数据暴露面与滥用风险。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install xianyu-auto-saler - 安装完成后,直接呼叫该 Skill 的名称或使用
/xianyu-auto-saler触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
自动发货机器人
元数据
常见问题
咸鱼自动发货 是什么?
闲鱼自动发货框架 - 一个可扩展的闲鱼虚拟商品自动化发货系统。提供核心的付款检测逻辑,发货流程完全可自定义。 - 核心功能:自动检测买家付款(系统卡片识别) - 可扩展:支持任意发货方式(秘钥、链接、图片、文件、自定义API等) - 灵活配置:通过脚本或配置文件自定义发货逻辑 - 内置模板:提供多种常见发货场景的... 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 454 次。
如何安装 咸鱼自动发货?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install xianyu-auto-saler」即可一键安装,无需额外配置。
咸鱼自动发货 是免费的吗?
是的,咸鱼自动发货 完全免费(开源免费),可自由下载、安装和使用。
咸鱼自动发货 支持哪些平台?
咸鱼自动发货 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 咸鱼自动发货?
由 Bijin(@sliverp)开发并维护,当前版本 v1.0.0。
推荐 Skills