分类 其他 下的文章

OpenClaw 专属安全审计工具,由个人开发者维护,可本地检测网关漏洞、定时任务风险及提示注入攻击,输出结构化 JSON 报告供安全运营使用。

基本信息

  • 技能名称?clawshield
  • 中文名称?OpenClaw 本地安全审计专家
  • 作者?Poolguy24
  • 分类?其他
  • 版本?未标注
  • 标签?security, devops, automation, backend, testing

使用方法

使用说明
核心用法
ClawShield 是一款面向 OpenClaw 安装环境的安全审计工具,采用「面板 + CLI」双模式设计。用户可通过 node scripts/panel-server.js 启动本地 Web 面板(默认 8133 端口),在可视化界面中执行扫描、调整配置、查看日志;也可直接调用 bash scripts/audit.sh 生成 JSON 格式的审计报告。核心检测范围包括:本地网关开放端口(1-1024 特权端口)、定时任务(cron)异常、提示注入(prompt injection)攻击痕迹,以及 PII(个人身份信息)泄露模式。所有扫描严格限定在本地回环(127.0.0.1),不涉及任何外部网络调用。
显著优点

  1. 零外部依赖风险 :审计逻辑完全本地执行,不连接远程服务器,杜绝了数据外泄通道;
  2. 轻量可嵌入 :纯 Bash + Node.js 实现,无需复杂运行时,可轻松集成到 CI/CD 或定时任务体系;
  3. 结构化输出 :JSON 报告格式便于对接告警系统(如 Telegram),支持自动化响应;
  4. 配置灵活 :通过 config.yaml 可调整扫描频率(daily/weekly)、告警渠道、敏感度等级;
  5. 安全编码规范 :采用 set -euo pipefail 、mktemp 安全临时目录、trap cleanup 等最佳实践。
    潜在缺点与局限性
    来源可信度受限 :作者为个人开发者(poolguy24),非知名开源基金会或企业背书,在强合规场景下可能面临来源质疑;
    功能边界较窄 :仅针对 OpenClaw 生态设计,无法直接迁移至其他 AI 网关或通用系统;
    可选依赖 nmap :虽然本地扫描风险可控,但 nmap 本身属于敏感工具,部分受控环境可能禁用;
    企业级支持缺失 :无 SLA、无官方技术支持通道,关键生产环境需自行承担维护责任。
    适合的目标群体
    OpenClaw 个人/小团队用户 :需要低成本、快速上手的安全自检方案;
    安全运营(SecOps)初学者 :希望通过本地审计理解提示注入、端口暴露等常见风险;
    合规预检场景 :在正式引入企业级安全工具前,进行初步风险摸排;
    自动化运维工程师 :需要将安全扫描嵌入现有监控体系,利用 JSON 输出对接告警平台。
    使用风险
  6. 权限误配风险 :脚本需读取 $WORKDIR/memory 和 $WORKDIR/skills 目录,若环境变量配置错误可能导致扫描范围扩大;
  7. nmap 触发安全告警 :部分云厂商或企业安全组将 nmap 扫描视为攻击行为,需提前报备;
  8. 报告文件残留 : logs/last-report.json 包含系统配置信息,需确保日志目录权限正确,避免本地信息泄露;
  9. 版本维护风险 :个人项目更新频率不确定,长期依赖需关注 GitHub 仓库动态,及时跟进安全补丁。

基于GitHub公开数据的开发者猎寻工具,通过地理位置与技术栈精准筛选候选人,为招聘团队提供评分排名与联系信息,快速构建技术人才库。

基本信息

  • 技能名称?githunt
  • 中文名称?GitHub开发者智能猎寻工具
  • 作者?mordka
  • 分类?其他
  • 版本?未标注
  • 标签?human-resources, api, productivity, data-analytics

使用方法

使用说明
GitHunt 是一款专注于 GitHub 开发者发现的智能招聘辅助工具,通过实时流式 API 帮助用户按地理位置、技术栈和专业角色精准筛选候选人。该工具利用 Server-Sent Events (SSE) 技术实现实时数据推送,支持前端、后端、AI、区块链等 10 余种预设角色分类,自动匹配相关技术关键词,并基于开发者活跃度、仓库质量等多维度生成综合评分。
核心用法上,用户通过调用 https://api.githunt.ai/v1/rank/users/stream 端点,传入地点(如 "berlin")、角色(如 "frontend")和技能数组即可启动流式搜索。系统实时返回匹配的开发者的用户名、头像、公司、邮箱(如公开)、技术栈匹配度及综合评分。对于特定候选人,还可使用 /rank/user 端点获取详细评分。免费版提供前 10 名候选人的预览,完整报告需支付 $19 获取 Excel/CSV 导出。
显著优点包括:实时流式响应提升搜索体验;预设角色模板简化技术栈配置;评分机制综合考量活跃度与技能匹配;免费层级支持基础筛选需求。此外,工具仅依赖标准系统工具(curl、jq),部署门槛低,且所有操作均通过 HTTPS 加密传输。
潜在局限在于:免费版结果数量严格限制为 10 人,大规模招聘需付费解锁;数据仅来源于 GitHub 公开资料,无法获取未公开联系方式或 LinkedIn 等平台数据;依赖第三方服务可用性,若 api.githunt.ai 服务中断则功能失效;不支持批量导出与 ATS 系统集成。
目标用户群体主要为技术招聘人员(Tech Recruiter)、HR 专员、猎头顾问及技术团队负责人,特别适合需要快速建立特定地区(如 "硅谷"、"柏林")技术人才库的场景,或寻找 niche 技能(如 Solidity、Rust)开发者的创业团队。
使用风险方面,尽管脚本本身通过安全性认证(A 级),但仍需注意:所有搜索参数传输至第三方服务器,敏感查询存在数据泄露风险;获取的开发者信息需遵守 GDPR 等隐私法规,禁止用于垃圾邮件或未经授权的营销活动;API 服务稳定性依赖商业公司运营,存在服务终止或价格变动风险;脚本虽无代码注入漏洞,但建议对用户输入进行正则过滤,避免特殊字符导致 API 错误。

基于 Flomo 官方 webhook 机制,实现一键快速保存碎片化笔记与灵感,轻量安全且无第三方依赖。

基本信息

  • 技能名称?flomo-notes
  • 中文名称?一键同步 Flomo 的碎片化笔记
  • 作者?xiaoluoboding
  • 分类?其他
  • 版本?未标注
  • 标签?productivity, content-media, automation, office

使用方法

使用说明
flomo-notes 是一款专为 Flomo 笔记用户设计的轻量化技能,旨在通过命令行或 AI 助手实现碎片化内容的即时归档。用户只需在配置文件中设置 Flomo 提供的专属 webhook URL 环境变量,即可通过简单的自然语言指令(如"记录到 flomo:会议纪要"或"save to flomo: buy milk")将想法、待办事项或任何文本内容无缝推送至个人 Flomo 收件箱,实现"所想即所得"的知识采集体验。
该技能的核心优势在于其极致的轻量与安全性。实现层面仅依赖系统原生工具(Bash、Python3 标准库、curl),零第三方依赖,有效避免了供应链攻击风险。代码采用严格的 Shell 安全模式( set -euo pipefail ),并通过 Python 的 json 模块处理数据编码,彻底杜绝命令注入与 XSS 漏洞。同时,技能遵循"最小权限原则",仅申请必要的网络出站请求权限,且所有敏感操作均需用户主动配置,无任何形式的静默数据收集或后台传输行为。完善的输入验证机制确保空内容或异常输入会被优雅处理,不会导致系统错误。
然而,该技能也存在一定局限性。首先,功能高度耦合 Flomo 单一平台生态,若 Flomo 服务中断、API 变更或 webhook 机制调整,技能将立即失效,缺乏跨平台兼容性。其次,作为 T3 来源的个人开源项目,长期维护稳定性、文档更新频率不及官方或大型企业背书的项目,存在潜在的维护中断风险。此外,技能目前仅支持纯文本字符串传输,无法处理图片、音频、附件等富媒体内容,对于需要多媒体记录的复杂笔记场景覆盖能力有限,且缺乏本地缓存机制,网络中断时内容无法重试发送。
此技能最适合已将 Flomo 作为主力"卡片盒"笔记工具的知识工作者、开发者以及需要快速捕获碎片化灵感的创作者群体。对于追求"无摩擦记录"的极简主义者,以及希望在 AI 对话过程中即时保存关键信息的用户,该技能提供了从想法到存储的最短路径,特别适合记录 fleeting notes(闪念笔记)。
使用时的常规风险主要包括配置与传输层面:webhook URL 作为访问凭证需严格保密,一旦泄露可能导致恶意第三方向你的 Flomo 注入垃圾信息;网络环境不稳定或 Flomo 服务器限流时可能导致发送失败且无法自动重试;用户需自行承担因配置错误(如错误的 URL 格式)导致的数据丢失风险。建议定期检查脚本完整性,避免在公共仓库中硬编码 webhook URL,并在处理敏感商业信息前充分测试验证。

基于XSS官方API的PDF压缩方案,支持自定义画质与DPI参数,云端安全处理,显著减小文件体积。

基本信息

  • 技能名称?compress-pdf
  • 中文名称?轻量高效的PDF瘦身专家
  • 作者?CrossServiceSolutions
  • 分类?其他
  • 版本?未标注
  • 标签?docs, office, productivity, pdf, compression

使用方法

使用说明
该技能通过调用 Cross-Service-Solutions (XSS) 提供的云端 API,实现 PDF 文件的自动化压缩处理。用户只需提供待压缩的 PDF 文件和 API 密钥,技能便会将文件上传至 XSS 服务器,通过轮询机制监控处理进度,最终在完成后返回可下载的压缩文件链接。整个过程支持自定义图片质量(0-100,默认75)和 DPI(72-300,默认144)参数,让用户能够在文件大小和视觉质量之间灵活权衡。
显著优点方面,该技能采用成熟的 MIT 开源协议,代码经过严格的安全审查,获得 S 级安全评级,无危险函数和注入漏洞。依赖管理规范,使用稳定的 requests 库(>=2.32.0)且版本锁定,无动态代码加载风险。输入验证机制完善,对文件存在性、PDF 扩展名、参数范围均进行严格校验,并设置合理的网络超时(180秒)。此外,云端处理模式免除了本地计算资源的压力,适合批量处理场景。
潜在缺点在于对第三方服务的强依赖性。用户必须注册并获取 XSS 平台的 API 密钥才能使用,且处理过程需要稳定的网络连接。由于文件需上传至第三方服务器处理,对于包含敏感商业机密或个人隐私的文档可能存在合规风险。另外,默认的 180 秒超时设置对于超大文件可能不够充裕,且服务可用性完全取决于 XSS 平台的稳定性。
该技能特别适合需要频繁处理 PDF 文档的办公人员、内容创作者、学生以及开发者。对于需要通过邮件发送大附件、优化网页加载速度或节省存储空间的场景尤为适用。同时,由于提供清晰的 API 接口和结构化输出,也适合集成到自动化工作流或批处理脚本中。
使用风险主要包括网络传输失败、API 密钥泄露(需通过环境变量妥善保管)以及第三方服务的隐私政策变更。虽然代码本身安全,但用户需明确知晓文件将离开本地环境上传至 Cross-Service-Solutions 的服务器。建议在处理敏感文档前仔细阅读 XSS 的服务条款,并确保网络环境允许访问外部 API。

Playwright封装库,通过指纹随机化、代理轮换、请求头伪装等技术实现反爬虫检测规避,适用于大规模数据采集与自动化测试场景。

基本信息

  • 技能名称?Browser Automation Stealth
  • 中文名称?隐身浏览器自动化,智能反检测
  • 作者?shepherd217
  • 分类?其他
  • 版本?1.0.0
  • 标签?stealth, anti-detection, playwright, web-scraping, browser-automation, fingerprint-spoofing, proxy-rotation, headless-browser

使用方法

使用说明
Browser Automation Stealth 是一款基于 Playwright 的浏览器自动化封装工具,专注于反检测与隐蔽性操作。其核心能力在于通过多层技术手段规避主流反爬虫系统的识别,包括浏览器指纹随机化(canvas、WebGL、字体、时区等)、User-Agent 动态轮换(内置100+代理池)、代理链支持(SOCKS5/HTTP)以及智能请求头管理。该工具默认启用"隐身模式",可模拟真实用户行为模式如鼠标轨迹随机化、输入延迟、页面滚动节奏等,显著降低被 Cloudflare、DataDome、PerimeterX 等防护系统拦截的概率。
核心优势 :与原生 Playwright 相比,该封装库大幅降低配置复杂度,提供 aggressive 、 moderate 、 light 三级隐身策略,开发者可按目标站点防护强度灵活选择。内置 Cookie 持久化与会话管理能力,支持跨任务状态保持。集成验证码处理接口(需配合第三方服务),形成从请求发起、身份维持到障碍处理的完整链路。
显著局限 :首先,反检测技术本质为"军备竞赛",主流防护系统持续升级识别策略,任何封装库都无法承诺永久有效,存在突然失效风险。其次,"激进模式"下部分指纹篡改可能导致罕见渲染异常或功能兼容性损失。依赖代理质量,免费代理池往往存在高延迟、低可用率问题。验证码绕过功能需额外付费订阅第三方服务(2Captcha、Anti-Captcha等),非开箱即用。
合规风险提示 :该工具技术中立,但典型用例(大规模抓取竞争对手数据、绕过服务条款自动化访问)涉及显著法律与合规风险。GDPR、CCPA 等隐私法规对数据抓取有严格限制;违反目标网站 robots.txt 或 ToS 可能导致 IP 封禁、法律追责。部分司法管辖区将特定规避行为视为计算机欺诈。
适合人群 :具备 Node.js/Python 基础的技术开发者、数据工程师、合规导向的市场研究团队、需对受保护站点进行 E2E 测试的 QA 工程师。不建议无编程基础用户直接使用,亦不建议用于任何违反目标站点政策或当地法律的自动化操作。