提供电商产品选品调研、市场竞争分析与内容生成,支持淘宝、拼多多、抖音、小红书、1688平台操作。
Security Analysis
medium confidence文档和清单在几个关键点不一致(声明的依赖/安装/发布信息与实际清单不同),虽然功能本身与电商选品需求一致,但缺乏来源和配置声明使得安装前需要额外核实。
技能的名称与描述(电商选品、市场分析、支持淘宝等平台)与 SKILL.md 中列出的能力一致;要求通过淘宝开放平台访问商品数据与用途相符。
SKILL.md 明确要求环境变量 ECOMMERCE_TAOBAO_APP_KEY/APP_SECRET 并描述“技能会自动调用淘宝 API”。但是 registry 元数据声明没有任何必需环境变量;说明文档要求访问凭据却未在元数据中列出,存在文档/清单不一致的问题。
SKILL.md 推荐通过 `npx skills add your-username/ecommerce-openclaw-skills` 安装并且 PROJECT_INFO.txt 提及 package.json 等发布相关文件,但实际包清单只包含三个文档文件(无 package.json、无代码、无安装规范)。这表明要么发布制品不存在,要么元数据不完整——在信任并运行之前需确认包来源和发布位置。
只需要(或文档中仅列出)淘宝 API 凭据,按功能需要这是合理且不过度。但因为这些凭据在 registry 要求中未声明,存在配置声明不一致的风险;此外未来宣称支持更多平台会需要额外凭据(目前尚未列出)。
技能为 instruction-only,注册标记没有设置 always:true,默认允许用户/模型调用,未请求长期驻留或提升平台权限。
Guidance
在决定安装或向此技能提供凭据前请做以下核实: 1) 要求作者或发布方提供代码仓库或 npm / ClawHub 发布页面,确认 package.json 与可安装包存在;不要仅凭 SKILL.md 的安装命令操作。 2) 要求技能在 registry 元数据中明确列出所需环境变量(例如 ECOMMERCE_TAOBAO_APP_KEY/APP_SECRET),并确认凭据仅用于淘宝 API 调用且不会被上报到第三方服务。 3) 如果准备测试,先在受控环境中运行(使用测试/只读 API Key 或权限受限的账号),并监控外发网络请求与数据去向。 4) 因为源码/发布来源未知,优先向开发者索要源码审计或在信任的仓库(GitHub/GitLab/ClawHub)中验证发布包。 5) 若不愿暴露真实私密凭据,可要求支持 OAuth/短期 token 或人工中介认证流程。
Latest Release
v1.0.0
v1.0.0(2026-03-19) 新增 ✨ 初始版本发布 四层分层架构设计(基础设施/平台适配/领域能力/业务场景) 基础设施层: - 统一配置管理、认证、HTTP客户端、数据类型、错误处理ecommerce-infrastructure 平台适配层: - 淘宝/天猫开放平台 API 适配taobao-api 领域能力层: - 产品调研能力,支持价格统计、销量统计、竞争分析product-research 业务场景层: - 完整选品调研场景,输入关键词直接输出市场调研报告ecommerce-product-research 符合 OpenClaw 技能规范,支持独立安装和使用 遵循企业安全规范,API Key 安全存储,敏感数据脱敏 计划中 拼多多 API 适配 抖音电商 API 适配 小红书 API 适配 1688 API 适配 文案生成能力 价格跟踪能力 竞品监控能力 企业开发·定制技能请联系Wx:CChenJ_
More by @chenjiahui11
Published by @chenjiahui11 on ClawHub
