by 安全扫描
OpenClaw
可疑
medium confidence技能指令与 AMLBot 集成相符,但未声明需要 Membrane CLI 并要求安装 npm 包(包括未固定的 npx 使用)—— 这是一个不匹配和轻微的供应链风险,使用前应审查。
评估建议
该技能似乎是 AMLBot 通过 Membrane 平台的合法指令集成,但在安装或遵循其步骤前有两个实际问题需要审查:
- 缺少声明的二进制文件:注册表元数据未列出任何必需的二进制文件,但 SKILL.md 期望安装 'membrane' CLI。请确认您愿意在您的机器/环境中安装和运行 Membrane CLI。
- npm install / npx 使用:说明文档推荐 'npm install -g @membranehq/cli' 并展示 'npx ...@latest'。全局 npm 安装和未固定的 @latest 使用可能引入供应链风险。建议安装到受控环境、固定特定 CLI 版本,或通过容器运行。在安装前请审查 @membranehq/cli 包(发布者、npm 页面、GitHub 仓库、发布标签)。
- 认证行为:工作流会打开浏览器进行类似 OAuth 的流程,并代表您授予 Membrane 访问外部服务的权限。请验证 Membrane 连接器为 AMLBot 请求的 scopes/permissions,并确保您愿意委托该访问权限。如需更高保障,请向发布者请求可注...详细分析 ▾
ℹ 用途与能力
名称/描述(AMLBot 集成)与运行时指令(调用 Membrane 连接 AMLBot)相符。然而技能注册表未声明任何必需的二进制文件,而 SKILL.md 要求安装和使用 'membrane' CLI。这是一个不一致:技能应声明 CLI 为必需的二进制文件。
✓ 指令范围
SKILL.md 紧扣主题:指导使用 Membrane CLI 发现操作、创建连接、运行操作以及代理请求到 AMLBot。它不要求代理读取无关的本地文件或环境变量,也不向 Membrane/AMLBot 之外的未知端点传输数据。它确实指导交互式身份验证(打开浏览器)和无头复制授权码——这对于此集成是预期的。
⚠ 安装机制
注册表中没有安装规范,但说明文档告诉用户通过 'npm install -g' 安装 @membranehq/cli 并在示例中使用 'npx @membranehq/cli@latest'。这是中等供应链风险:全局 npm 安装和未固定的 @latest 使用可能拉取任意更新。注册表应包含明确的固定安装规范或至少声明所需的二进制文件。
✓ 凭证需求
技能不请求环境变量或凭证,并明确建议不向用户请求 API 密钥,依赖 Membrane 管理身份验证。这对于使用代理认证连接服务的集成是相称的。
✓ 持久化与权限
技能不是始终包含的,可由用户调用。它不请求提升的系统权限或修改其他技能的配置。不请求持久性或异常权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/21
回滚刷新标记
● 无害
安装命令 点击复制
官方npx clawhub@latest install amlbot
镜像加速npx clawhub@latest install amlbot --registry https://cn.clawhub-mirror.com
技能文档
AMLBot 是一款供加密货币用户检查其加密货币钱包和交易「纯净度」的工具。它被加密货币投资者、交易者和交易所用于评估风险并确保符合反洗钱法规。
官方文档:https://amlbot.com/docs/
AMLBot 概述
- Transaction - 交易
- Analysis - 分析
- Account - 账户
- Balance - 余额
- Alert - 警报
- Dashboard - 仪表板
- User - 用户
使用 AMLBot
此技能使用 Membrane CLI 与 AMLBot 交互。Membrane 自动处理身份验证和凭证刷新——因此您可以专注于集成逻辑而非身份验证流程。
安装 CLI
安装 Membrane CLI 以便您可以从终端运行 membrane:
npm install -g @membranehq/cli
首次设置
membrane login --tenant
浏览器窗口将打开以进行身份验证。
无头环境: 运行命令,将打印的 URL 复制给用户以便在浏览器中打开,然后使用 membrane login complete 完成。
连接到 AMLBot
- 创建新连接:
membrane search amlbot --elementType=connector --json
从 output.items[0].element?.id 获取连接器 ID,然后:
membrane connect --connectorId=CONNECTOR_ID --json
用户在浏览器中完成身份验证。输出包含新的连接 ID。
获取现有连接列表
当您不确定连接是否已存在时:
- 检查现有连接:
membrane connection list --json
如果存在 AMLBot 连接,请记下其 connectionId
搜索操作
当您知道想要做什么但不知道确切的操作 ID 时:
membrane action list --intent=QUERY --connectionId=CONNECTION_ID --json
这将返回包含 id 和 inputSchema 的操作对象,因此您将知道如何运行它。
热门操作
使用 npx @membranehq/cli@latest action list --intent=QUERY --connectionId=CONNECTION_ID --json 发现可用的操作。
运行操作
membrane action run --connectionId=CONNECTION_ID ACTION_ID --json
传递 JSON 参数:
membrane action run --connectionId=CONNECTION_ID ACTION_ID --json --input "{ \"key\": \"value\" }"
代理请求
当可用的操作不满足您的用例时,您可以通过 Membrane 的代理直接将请求发送到 AMLBot API。Membrane 会自动将基础 URL 附加到您提供的路径,并注入正确的身份验证头——包括凭证过期时的透明刷新。
membrane request CONNECTION_ID /path/to/endpoint
常用选项:
| 标志 | 描述 |
|---|---|
-X, --method | HTTP 方法(GET、POST、PUT、PATCH、DELETE)。默认为 GET |
-H, --header | 添加请求头(可重复),例如 -H "Accept: application/json" |
-d, --data | 请求体(字符串) |
--json | 简写方式,发送 JSON body 并设置 Content-Type: application/json |
--rawData | 发送 body 原样,不做任何处理 |
--query | 查询字符串参数(可重复),例如 --query "limit=10" |
--pathParam | 路径参数(可重复),例如 --pathParam "id=123" |
最佳实践
- 始终优先使用 Membrane 与外部应用通信 — Membrane 提供预构建的操作,内置身份验证、分页和错误处理。这将消耗更少的 token 并使通信更安全
- 先发现再构建 — 运行
membrane action list --intent=QUERY(将 QUERY 替换为您的意图)在编写自定义 API 调用之前发现现有操作。预构建的操作处理分页、字段映射和原始 API 调用忽略的边缘情况。
- 让 Membrane 处理凭证 — 永远不要向用户请求 API 密钥或令牌。创建连接代替;Membrane 在服务器端管理完整的身份验证生命周期,无本地密钥。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制