by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与 Sonos CLI 工具匹配,但注册元数据中未包含 SKILL.md 中声明的二进制文件/安装步骤,这一不匹配以及远程 Go 安装在安装或授予凭据前应谨慎处理。
评估建议
该 SKILL.md 似乎包装了一个现有的 Sonos CLI 工具,这对于声明的目的来说是合理的。然而,注册元数据中未包含 SKILL.md 中存在的 'sonos' 二进制文件要求和基于 Go 的安装步骤——这一不匹配可能是无害的元数据疏漏或表明包被错误打包。在安装前:(1) 验证上游 GitHub 项目(github.com/steipete/sonoscli),检查其源代码和最近的发布;(2) 确认您对从该模块运行 `go install` 感舒适(它将编译和安装远程代码);(3) 除非您信任代码,否则不要提供 SPOTIFY_CLIENT_SECRET/ID;(4) 如果您想限制风险,考虑在受限环境(容器或 VM)中安装。如果发布者无法解释元数据不一致,请谨慎对待该技能或选择一个元数据一致且发布了发布 tarball 或包的替代品。...详细分析 ▾
⚠ 用途与能力
技能的声明目的(控制 Sonos 扬声器)与 SKILL.md 指令匹配(调用本地 `sonos` CLI)。然而,提交顶部的注册元数据未列出任何所需的二进制文件或安装规格,而 SKILL.md 的嵌入式元数据声明了一个所需的 'sonos' 二进制文件和一个 Go 安装(github.com/steipete/sonoscli)。注册元数据要求和运行时指令之间的这种不一致是意外的,应予以澄清。
✓ 指令范围
SKILL.md 指令仅限运行 `sonos` CLI 对本地网络设备进行操作(发现、状态、播放、音量、分组)。它引用了 SSDP 和 IP 覆盖,并可选地引用 Spotify Web API 凭据用于 Spotify 搜索。指令不要求代理读取无关文件或向 Sonos/Spotify 流之外的外部端点泄漏数据。
ℹ 安装机制
SKILL.md 元数据包含一个安装条目,使用 Go 模块 github.com/steipete/sonoscli/cmd/sonos@latest 生成一个 'sonos' 二进制文件。从公共 GitHub Go 模块安装代码是常见但非平凡的:它需要一个 Go 工具链并执行远程代码(中等风险)。安装源(GitHub)是合理的,但由于注册级规范省略了这一点,在运行前请确认确切的安装命令并检查上游仓库。
ℹ 凭证需求
在注册级别未声明任何所需的环境变量,但 SKILL.md 注明了 Spotify 搜索的可选 SPOTIFY_CLIENT_ID 和 SPOTIFY_CLIENT_SECRET。这些可选变量与描述的 Spotify 功能成比例。除非您信任上游包,否则不要提供 Spotify 凭据。
✓ 持久化与权限
该技能不请求持久/始终启用的安装,并使用默认的自治调用。根据提供的指令,它不尝试修改其他技能或系统范围的配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/5
● 无害
安装命令 点击复制
官方npx clawhub@latest install sonoscli
镜像加速npx clawhub@latest install sonoscli --registry https://www.longxiaskill.com
技能文档
使用 sonos 控制本地网络中的 Sonos 扬声器。
快速开始
sonos discoversonos status --name "Kitchen"sonos play|pause|stop --name "Kitchen"sonos volume set 15 --name "Kitchen"
- 分组:
sonos group status|join|unjoin|party|solo - 收藏:
sonos favorites list|open - 队列:
sonos queue list|play|clear - Spotify 搜索(通过 SMAPI):
sonos smapi search --service "Spotify" --category tracks "query"
- 如果 SSDP 失败,请指定
--ip。 - Spotify Web API 搜索是可选的,需要
SPOTIFY_CLIENT_ID/SECRET。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制