Brave Web Search

核心用法

Brave Web Search 是一个双模式搜索技能，通过 brave-search 命令获取带排名的网页结果（含标题、URL、摘要），或通过 brave-answer 获取 AI 生成的简洁事实答案。支持时间过滤（past day/week/month）以提升时效性。

显著优点

• 零依赖设计：纯 Node.js 原生实现，无需额外安装步骤
• 安全架构：强制使用参数数组执行（execFile 风格），从根本上杜绝 shell 注入风险
• 双模响应：兼顾传统搜索引擎的深度（排名结果）与 AI 问答的效率（摘要答案）
• 实时性：接入 Brave 搜索 API，支持新闻、股价等时效性数据
• 隐私合规：仅向 Brave API 发送查询字符串，不访问本地文件系统

潜在局限

• API 依赖：需要有效的 BRAVE_SEARCH_API_KEY 和 BRAVE_ANSWERS_API_KEY，服务可用性受 Brave 平台影响
• 答案质量波动：brave-answer 可能返回 null，需开发者实现 fallback_results 处理逻辑
• 地域限制：搜索结果受 Brave API 的 IP 地域策略影响
• 无高级搜索语法：不支持 site:、filetype: 等复杂搜索运算符

适合人群

• 需要实时事实核查的 AI 应用开发者
• 构建新闻聚合、研究辅助类工具的工程师
• 对 shell 注入防护有严格安全要求的场景

常规风险

• API 密钥泄露：环境变量配置不当可能导致密钥暴露
• 成本累积：高频调用可能产生 Brave API 费用
• 信息时效误判：尽管支持 freshness 参数，AI 摘要仍可能基于缓存数据

核心用法

Brave Web Search 是 OpenClaw 生态中的网络搜索 Skill，提供两种互补能力：

1. `brave-search` — 返回带排名、URL 和摘要的网页结果，适合调研、新闻追踪、信息溯源
2. `brave-answer` — 调用 Brave Summarizer API 生成简洁 AI 摘要，适合快速 factual Q&A

调用时需采用 execFile 风格的参数数组传递（['index.js', 'brave-search', '--query', userQuery]），严禁将用户输入拼接进 shell 命令字符串。

支持时效性过滤（--freshness pd/pw/pm），当 brave-answer 返回 null 时自动回退到搜索结果。

显著优点

• 零依赖攻击面：纯 Node.js 原生实现，无 npm 包依赖，彻底消除供应链攻击风险
• 执行安全：无 eval/exec/system 危险函数，参数通过 URLSearchParams 安全编码
• 网络边界清晰：仅访问 api.search.brave.com 官方域名，HTTPS/TLS 1.2+ 加密
• 密钥管理规范：从环境变量读取 API key，无硬编码凭证
• 轻量高效：280 行代码，15.3 秒完成完整安全扫描，资源占用极低

潜在局限

• 来源可信度 T3：个人/社区维护项目，无企业背书，长期维护稳定性需观察
• 功能单一：仅支持搜索和摘要，无高级筛选（如站点限定、语言过滤）
• 错误信息较简略：HTTP 状态码+原始文本，故障定位依赖人工排查
• 网络依赖强：完全依赖 Brave API 可用性，无离线缓存机制
• 隐私边界：查询内容直达 Brave 服务器，敏感搜索场景需注意

适合人群

• 需要实时信息的 AI 工作流（新闻、股价、技术文档最新版）
• 对供应链安全敏感的企业环境（零依赖 = 可审计）
• 追求低延迟、低资源占用的边缘部署场景

常规风险

| 风险项 | 等级 | 说明 |

|--------|------|------|

| 外部网络请求 | Low | 官方 API，TLS 加密，但需可信网络环境 |

| 环境变量泄露 | Low | API key 存于环境变量，需配合 KMS 使用 |

| T3 来源持续性 | Medium | 社区项目，建议关注更新动态 |

| API 配额/成本 | 运营 | Brave Search API 有调用限额，需监控用量 |

---

安全评级：S（85分） | 来源可信度：T3 | 扫描时间：2026-06-03