by 安全扫描
OpenClaw
安全
high confidence该技能内部一致:它暴露一个小的 Node 适配器,使用单个 AICFO API 密钥调用文档化的 AICFO REST 端点,清单/指令与代码和目的匹配。
评估建议
该技能看起来是连贯的,并实现了一个小的 Node 适配器,使用一个持有者密钥调用 AICFO REST 端点。安装前,请考虑:1) 只提供具有最小必要范围的 AICFO API 密钥(先使用会话命令检查)。2) 确认 AICFO_APP_URL 指向真实服务(默认为 localhost)。3) 在允许连接器操作(Telegram、Google Drive)时要谨慎:这些操作影响第三方提供商,需要明确的连接器使用范围 — 运行会话/工具以验证范围后再执行写/连接器操作。4) 在非生产账户中测试,并在后续删除技能时旋转/吊销密钥。...详细分析 ▾
✓ 用途与能力
名称/描述、请求的主要凭证(AICFO_API_KEY)、可选 Node 运行时以及暴露的操作(会话、公司、查询、连接器等)都与 AICFO 的服务集成适配器一致。没有无关的凭证或意外的二进制文件请求。
✓ 指令范围
SKILL.md 指示使用包含的 bin/openclaw-aicfo-adapter.mjs 来检查会话、选择公司范围并调用 AICFO REST 端点。它不指示读取任意主机文件或无关的环境变量。它记录了连接器操作(例如 Telegram、Google Drive),这对于连接器表面来说是预期的 — 适配器在其防护栏中强制执行范围检查。
✓ 安装机制
没有安装规格(仅指令技能),存储库包含一个普通 Node 脚本。没有从外部 URL 下载或提取内容;安装风险很低。
✓ 凭证需求
技能声明的主要凭证是 AICFO_API_KEY,运行时使用 AICFO_APP_URL 和可选的 AICFO_COMPANY_ID。请求的环境访问是最小的,并且直接与描述的功能相关。
✓ 持久化与权限
always 为 false,技能不请求持久的系统范围特权或修改其他技能。它是用户可调用且可以自主调用(平台默认),这对于连接器技能来说是预期的。
⚠ bin/openclaw-aicfo-adapter.mjs:80
环境变量访问与网络发送结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.22026/3/13
使发布的适配器自包含,并从技能包中删除 MCP SDK 依赖。
● 无害
安装命令 点击复制
官方npx clawhub@latest install openclaw-aicfo-agent
镜像加速npx clawhub@latest install openclaw-aicfo-agent --registry https://cn.clawhub-mirror.com
技能文档
概述
使用此技能将 OpenClaw 连接到 AICFO 平台,无需触摸浏览器仅路由或租户本地守护进程。主要表面:... (中间内容与原文相同,仅示例开始)数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制