by 安全扫描
OpenClaw
安全
high confidence该技能与其声明的用途一致:通过 OpenClaw 使用 BestYou API 密钥和 mcporter CLI 渲染 BestYou 健康数据;包中没有表明存在无法解释或过度的访问请求。
评估建议
安装前需考虑的事项:
- 该技能合理需要 BESTYOU_API_KEY,并使用 mcporter 调用 BestYou MCP 服务(baseUrl: https://mcp.bestyou.ai/mcp)。仅提供您计划用于 BestYou 的密钥,并授予所需的最小范围。
- 系统将要求您将 API 密钥存储在本地配置文件中(~/.openclaw/workspace/config/mcporter.json)。该文件以明文形式包含 Bearer 令牌;请保护该文件(限制权限),如果您停止使用该技能,请删除或轮换密钥。
- 该技能建议通过 npm 全局安装 mcporter。在运行 `npm install -g` 之前,请验证 mcporter 的包名、发布者和版本,或者如果您对全局包有疑虑,请优先选择本地安装(或固定版本)。
- HTML 模板从 cdn.bestyou.ai 和 fonts.googleapis.com 加载图片和字体 — 加载模板将导致向这些 CDN 发出出站请求(这对于渲染图片/字体是正常的,但请注意这会泄露客户端检索了这些资源)。
- 查看包中包含的 re...详细分析 ▾
ℹ 用途与能力
名称/描述、所需环境变量(BESTYOU_API_KEY)和说明完全一致:技能通过 MCP 服务器获取 BestYou 数据并渲染本地 HTML 模板。一个小的不匹配是:注册表元数据没有列出所需的配置路径,但 SKILL.md 和 INSTALL.md 明确指示用户创建并使用 ~/.openclaw/workspace/config/mcporter.json(mcporter 配置)。这是运行所需的,但未反映在声明的元数据中。
✓ 指令范围
SKILL.md 将运行时操作限制为:验证/安装 mcporter、创建包含 BESTYOU API 密钥的 mcporter 配置、通过 mcporter 调用 bestyou.* 工具、从 assets/ 填充本地 HTML 模板、内联 CSS,并通过 canvas 呈现。指令不要求代理读取无关的系统文件或其他凭证。当执行 mcporter 调用时,代理将向 BestYou MCP 端点发出网络请求。
ℹ 安装机制
这是一个纯指令技能(无安装规范)。它告诉用户通过 `npm install -g mcporter` 安装 mcporter。这是一个正常但比使用经过审计的系统包风险更高的建议,因为全局 npm 安装会运行来自 npm 注册表的代码 — 用户应在安装前验证包和版本。
✓ 凭证需求
仅需要一个凭证(BESTYOU_API_KEY)并将其声明为主要凭证,这对于调用 BestYou MCP API 的技能来说是相称的。文档指示将密钥存储在本地 mcporter.json 的 Authorization Bearer 头中 — 这很方便,但意味着密钥将以明文形式出现在指定路径的磁盘上,因此用户应确保适当的文件系统权限和范围。
✓ 持久化与权限
always:false 和 user-invocable:true(默认)。该技能不请求永久或提升的平台权限,除了建议重启网关外,不尝试修改其他技能或系统级设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/23
BestYou Coach 1.0.0 — BestYou Coach for OpenClaw canvas 首次发布。 - 将健康数据渲染为可视化仪表板:每日简报、行动计划、进度快照、周总结、膳食分析和锻炼计划。 - 提供 mcporter 和 API 密钥配置的设置指南。 - 包含数据到模板的映射和设计系统详细信息,以确保一致的渲染效果。 - 概述了处理缺失或空 API 响应字段的方式。 - 描述了典型用户请求的对话模式。
● 无害
安装命令 点击复制
官方npx clawhub@latest install bestyou-coach
镜像加速npx clawhub@latest install bestyou-coach --registry https://cn.clawhub-mirror.com
技能文档
使用 OpenClaw 的 canvas 将 BestYou MCP 工具响应渲染为丰富的视觉卡片。
首次设置
在调用任何工具之前,请检查 mcporter 是否已安装以及 BestYou 服务器是否已配置:
mcporter --config ~/.openclaw/workspace/config/mcporter.json list
- 如果未找到
mcporter:npm install -g mcporter - 如果未列出
bestyou:请引导用户完成设置。请参阅references/setup.md获取完整指南。
设置摘要:
- 用户在 BestYou iOS 中生成 API 密钥(更多 → 已连接的应用 → OpenClaw)
- 在
config/mcporter.json中创建包含 Authorization Bearer 头中的密钥(请参阅references/setup.md获取确切的 JSON 格式) - 重启 OpenClaw 网关
通过 mcporter 调用工具
所有工具使用以下语法:
mcporter --config config/mcporter.json call bestyou. [param=value ...]
如果需要自定义配置路径(例如从工作区外部调用),请使用完整路径:
mcporter --config ~/.openclaw/workspace/config/mcporter.json call bestyou. [param=value ...]
示例:
mcporter call bestyou.get_account_link_status
mcporter call bestyou.get_daily_briefing date=2026-03-15
mcporter call bestyou.get_todays_action_plan date=2026-03-15
mcporter call bestyou.get_progress_snapshot date=2026-03-15
mcporter call bestyou.get_weekly_summary weekEndDate=2026-03-15
mcporter call bestyou.generate_workout type=strength duration=20 equipment=bodyweight experienceLevel=Intermediate goal="General strength"
mcporter call bestyou.analyze_meal_text description="chicken burrito bowl" timestamp=2026-03-15T12:30:00-06:00
如果需要自定义 mcporter 配置路径,请添加 --config 。
工具到模板映射
| MCP 工具 | 模板 | 描述 |
|---|---|---|
get_account_link_status | assets/account-status.html | 连接状态、范围 |
get_daily_briefing | assets/daily-briefing.html | 准备度、洞察、优先级 |
get_todays_action_plan | assets/action-plan.html | 今日时间块的时间线 |
get_progress_snapshot | assets/progress-snapshot.html | 领域分数、建议 |
get_weekly_summary | assets/weekly-summary.html | 周分数、趋势、目标 |
analyze_meal_text | assets/meal-analysis.html | 宏量营养素分解、成分 |
generate_workout | assets/workout.html | 带图片的练习卡片 |
渲染工作流
- 通过 mcporter 调用 BestYou MCP 工具
- 从
assets/读取匹配的模板 - 用实际 API 响应值替换 HTML 中的示例数据(请参阅下面的数据映射)
- 内联 CSS:将
assets/shared.css的内容复制到 HTML中的