by 安全扫描
OpenClaw
安全
high confidence该技能的指令与需求与使用第三方 Membrane CLI 的 Microsoft To Do 集成一致,未要求任何超出该目的的内容。
评估建议
该技能看起来逻辑一致,但请注意其依赖第三方服务 Membrane。安装前:(1) 确认你信任 getmembrane.com/@membranehq 与 @membranehq/cli npm 包;(2) 准备通过浏览器登录(审查授予连接器的权限范围);(3) 全局安装 CLI 需要 npm 权限并会在 PATH 放置二进制文件;(4) 本技能(通过 Membrane proxy)可调用被授予权限范围内的任意 Microsoft Graph 端点——仅授予最小必要权限。如需更严格控制,请在 Membrane 中审查连接器权限,并避免在共享系统上全局安装。...详细分析 ▾
✓ 用途与能力
技能名称/描述与运行时指令一致:使用 Membrane CLI 连接 Microsoft To Do 并管理任务。未请求无关凭据、二进制文件或配置路径。
✓ 指令范围
SKILL.md 保持在范围内:指导安装 Membrane CLI、登录、创建/使用连接、列出并执行操作,并通过 Membrane 代理 Microsoft Graph 调用。未指示读取无关文件或外泄数据。注意:代理允许调用任意 Microsoft Graph 端点(在授予权限内),因此请在授权时审查权限。
ℹ 安装机制
未提供自动安装说明(仅指令)。推荐 `npm install -g @membranehq/cli`,这是标准 npm 公共包全局安装——常见但需警惕多用户系统风险。
✓ 凭证需求
技能未声明所需环境变量或本地凭据。依赖 Membrane 账户与浏览器认证,与其功能相符,未请求无关密钥。
✓ 持久化与权限
使用 always:false 与正常自主调用。技能未请求永久系统级驻留或修改其他技能/配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/7
还原刷新标记
● 可疑
安装命令 点击复制
官方npx clawhub@latest install microsoft-to-do-integration
镜像加速npx clawhub@latest install microsoft-to-do-integration --registry https://cn.clawhub-mirror.com
技能文档
官方文档:https://developer.microsoft.com/en-us/graph/apis/api-reference/v1.0/resources/todo
Microsoft To Do 概览
- Task Lists
- Tasks
- Steps
按需使用 action 名称与参数。
使用 Microsoft To Do
本 skill 通过 Membrane CLI 与 Microsoft To Do 交互。Membrane 自动处理身份验证与凭证刷新——你只需关注集成逻辑,无需关心认证细节。安装 CLI
安装 Membrane CLI,以便在终端运行membrane:
npm install -g @membranehq/cli
首次设置
membrane login --tenant
membrane login complete 连接到 Microsoft To Do
- 创建新连接:
membrane search microsoft-to-do --elementType=connector --json
从 output.items[0].element?.id 获取 connector ID,然后:
membrane connect --connectorId=CONNECTOR_ID --json
用户在浏览器中完成身份验证。输出包含新的 connection id。 获取现有连接列表
不确定是否已有连接时:
- 检查现有连接:
membrane connection list --json
若已存在 Microsoft To Do 连接,记下其 connectionId。 搜索 action
知道想做什么但不知道具体 action ID 时:
membrane action list --intent=QUERY --connectionId=CONNECTION_ID --json
返回包含 id 与 inputSchema 的 action 对象,便于后续调用。 常用 action
| 名称 | Key | 描述 |
| --- | --- | --- |
| Delete Task | delete-task | 按 ID 删除任务 |
| Update Task | update-task | 更新已有任务 |
| Get Task | get-task | 按 ID 获取任务 |
| Create Task | create-task | 在任务列表中新建任务 |
| List Tasks | list-tasks | 获取指定任务列表中的所有任务 |
| Delete Task List | delete-task-list | 按 ID 删除任务列表 |
| Update Task List | update-task-list | 更新已有任务列表 |
| Get Task List | get-task-list | 按 ID 获取任务列表 |
| Create Task List | create-task-list | 新建任务列表 |
| List Task Lists | list-task-lists | 获取当前用户的所有任务列表 | 运行 action
membrane action run --connectionId=CONNECTION_ID ACTION_ID --json
传递 JSON 参数:
membrane action run --connectionId=CONNECTION_ID ACTION_ID --json --input "{ \"key\": \"value\" }"
代理请求
当现有 action 无法满足需求时,可通过 Membrane 代理直接向 Microsoft To Do API 发送请求。Membrane 自动附加基础 URL 并注入正确的认证头——若凭证过期也会自动刷新。
membrane request CONNECTION_ID /path/to/endpoint
常用选项:
| 标志 | 描述 |
|------|-------------|
| -X, --method | HTTP 方法(GET、POST、PUT、PATCH、DELETE)。默认 GET |
| -H, --header | 添加请求头(可重复),如 -H "Accept: application/json" |
| -d, --data | 请求体(字符串) |
| --json | 简写:发送 JSON 体并设置 Content-Type: application/json |
| --rawData | 按原样发送 body,不做处理 |
| --query | 查询参数(可重复),如 --query "limit=10" |
| --pathParam | 路径参数(可重复),如 --pathParam "id=123" | 最佳实践
- 始终优先通过 Membrane 与外部应用通信 —— Membrane 提供预置 action,内置认证、分页与错误处理,可节省 token 并提升安全性。
- 先探索再构建 —— 运行
membrane action list --intent=QUERY(将 QUERY 替换为你的意图)查找现有 action,再编写自定义 API 调用。预置 action 会处理分页、字段映射及边界情况,而原始 API 调用容易遗漏。
- 让 Membrane 管理凭证 —— 切勿向用户索取 API key 或 token。创建 connection 即可;Membrane 在服务器端完整管理 Auth 生命周期,本地无敏感信息。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制