by 安全扫描
OpenClaw
可疑
medium confidence该技能大致匹配 Figma 设计到代码集成,但在凭证、数据流(MCP 使用)和资产暴露方面存在明显不一致,建议在安装前进行审查。
评估建议
不要盲目安装。请要求发布者澄清以下明显不匹配项:(1)更新注册表元数据,声明 FIGMA_TOKEN 作为所需凭证,如果技能需要;(2)确认 MCP 使用的确切数据流——哪些端点接收设计数据,是否由您控制或第三方服务;(3)验证 references/omada-assets.md 中列出的 file_keys 是否意图与技能一起分发(可能是专有资产);(4)在本地审计捆绑的脚本(figma_api.py 小且可读),并在授予令牌广泛范围或编辑权限之前在隔离环境中运行;(5)在确认 MCP 提供者和 OAuth 流之前避免授予编辑或组织级权限,考虑使用最小权限令牌(只读)进行初步测试。...详细分析 ▾
⚠ 用途与能力
SKILL.md 和支持文档需要 FIGMA_TOKEN 并描述了 MCP(远程)交互,但注册表元数据没有列出所需的环境变量或主要凭证 — 这是不一致的。包含的 references/omada-assets.md 还嵌入了许多内部文件键(私有项目文件标识符),这超出了最小的“演示”技能,并表明可以访问专有资产。
⚠ 指令范围
运行时指令告诉代理使用读取任意 Figma 文件结构的脚本,并添加/使用 MCP 服务器(https://mcp.figma.com/mcp)进行交互式设计到代码和写回。人类指南断言 FIGMA_TOKEN “不会被泄漏”,然而 MCP 流程隐式地将设计数据发送到远程 MCP 端点和 Claude/Codex — 文档在数据去向和发送内容方面不一致。脚本本身只调用 api.figma.com,但 SKILL.md 明确指示使用将传输设计内容到本地环境外的远程 MCP 工具。
✓ 安装机制
没有安装规范;这是仅指令的,带有捆绑的实用脚本。提供的 scripts/figma_api.py 是普通的、可读的,只执行对 Figma 和图像下载的认证调用 — 没有混淆的代码或远程任意下载。
⚠ 凭证需求
该技能实际上需要一个 FIGMA_TOKEN(在 SKILL.md 中记录并由脚本使用),但注册表元数据声明没有所需的环境变量或主要凭证 — 这是一个不匹配。FIGMA_TOKEN 是敏感的;文档的声明 “仅在本地存在,不泄漏” 没有被代码强制执行,并且被 MCP 指令所矛盾,后者将发送设计数据到远程端点。资产列表包含许多内部文件键,这可能是您组织的设计资产的敏感信息。
✓ 持久化与权限
该技能不请求 always:true,也不要求修改其他技能或系统范围的配置。它只在自己的工作空间内读写(下载到 /tmp,文档中引用 ~/.openclaw 路径)并使用正常的 API 调用。没有观察到提升的持久性行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/31
初始发布:REST API CLI(7 个命令)、MCP 服务器 14 个工具、设计到代码工作流、资产注册表
● 无害
安装命令 点击复制
官方npx clawhub@latest install openclaw-figma
镜像加速npx clawhub@latest install openclaw-figma --registry https://cn.clawhub-mirror.com
技能文档
概述
该技能提供 Figma 设计资产读取、代码生成和 MCP 集成功能,支持 REST API 直接调用和 MCP 服务器设计到代码工作流。使用指南
- 注册并获取 FIGMA_TOKEN:在 Figma 平台注册,获取您的 API 令牌(FIGMA_TOKEN)。
- 配置技能:在 OpenClaw 中配置本技能,输入您的 FIGMA_TOKEN。
- 运行脚本:执行提供的脚本,开始设计到代码的工作流。
注意事项
- 请保护您的 FIGMA_TOKEN 安全,不得泄露。
- 确保理解数据流向和 MCP 服务器的使用。
# 以下为原始 YAML frontmatter,不翻译 version: 1.0 author: OpenClaw Team
# 代码块示例(不翻译)
import os
# Figma API 调用示例
命令行指令(不翻译)
# 示例指令
figma-api-cli --token YOUR_TOKEN list-files
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制