by 安全扫描
OpenClaw
可疑
high confidence该技能基本如宣称(调用 Context7 API),但源代码中嵌入默认 API 密钥并未声明或记录所需凭据 —令人惊讶且风险的不匹配。
评估建议
该技能看似是一个 Context7 API 客户端,但有两个问题应在安装或使用前考虑:- 硬编码 API 密钥:脚本包含默认 API 密钥,可能被共享、吊销或滥用。- 未声明的凭据要求:技能元数据和 SKILL.md 未提及所需的 CONTEXT7_API_KEY。- 数据暴露:脚本发送查询和潜在代码/查询到外部服务。推荐:1) 请求技能作者移除硬编码密钥并更新 SKILL.md。2) 如果必须使用,设置您控制的 CONTEXT7_API_KEY 并清理查询以避免泄露秘密。3) 如果无法验证嵌入密钥的来源/所有权,请不要使用默认密钥,考虑在作者提供澄清之前不安装该技能。...详细分析 ▾
⚠ 用途与能力
名称/描述与包含的脚本匹配:工具查询 context7.com 的库文档。然而,技能元数据未声明所需的凭据或环境变量,而脚本期望 CONTEXT7_API_KEY(并回退到硬编码密钥)。API 凭据的缺失声明是不一致的。
ℹ 指令范围
SKILL.md 指示运行打包脚本以搜索和获取上下文;它不指示读取无关的本地文件或其他秘密。但是,指令省略了设置 CONTEXT7_API_KEY 或默认密钥存在的任何提及,这可能导致在运行时默默使用嵌入的密钥。
✓ 安装机制
无安装规格;这是一个仅有指令的技能,伴有一个本地 Python 脚本。没有外部下载/安装步骤,减少了安装时的风险。
⚠ 凭证需求
代码读取环境变量 CONTEXT7_API_KEY,但技能元数据未列出所需的环境变量或主要凭据。更糟糕的是,脚本在源代码中嵌入默认 API 密钥 — 在代码中嵌入凭据是不当的,增加了风险(密钥泄露、滥用或意外共享使用)。
✓ 持久化与权限
该技能不请求永久存在(always:false),也不尝试修改其他技能或系统范围设置。它作为按需的 CLI 客户端运行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/18
初始发布 - 基于 Python 的 Context7 API 客户端,用于带有搜索和上下文命令的实时库文档获取
● 可疑
安装命令 点击复制
官方npx clawhub@latest install context7-api
镜像加速npx clawhub@latest install context7-api --registry https://cn.clawhub-mirror.com
技能文档
Context7 文档获取器 获取 Context7 API 通过的当前库文档。
工作流
1. 搜索库
python3 ~/.claude/skills/context7/scripts/context7.py search ""
python3 ~/.claude/skills/context7/scripts/context7.py search "next.js"
id 字段(用于步骤 2)的库元数据。
2. 获取文档上下文
python3 ~/.claude/skills/context7/scripts/context7.py context "" ""
python3 ~/.claude/skills/context7/scripts/context7.py context "/vercel/next.js" "app router middleware"
--type txt|md- 输出格式(默认:txt)--tokens N- 限制响应令牌
快速参考
| 任务 | 命令 |
|---|---|
| 找到 React 文档 | search "react" |
| 获取 React hooks 信息 | context "/facebook/react" "useEffect cleanup" |
| 找到 Supabase | search "supabase" |
| 获取 Supabase 认证 | context "/supabase/supabase" "authentication row level security" |
- 实现任何库依赖功能之前
- 不确定当前 API 签名时
- 对库版本特定行为
- 验证最佳实践和模式
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制