by 安全扫描
OpenClaw
安全
high confidence该技能的代码、指令和环境变量(FIGMA_TOKEN)与其声明的只读交互 Figma REST API 和图像导出目的一致,无不当访问或可疑安装发现。
评估建议
该技能似乎如其所言,但应采取正常预防措施:仅从可信源安装;提供具有最小必需范围的 Figma PAT,并在停止使用技能时旋转它;在安全/隔离的工作目录中运行导出(工具写入当前工作目录);注意脚本将下载 Figma API 返回的图像 URL(如果担心意外主机,请检查日志或文件名);如果您想验证没有超出只读 API 调用的更改,请在使用前查看包含的脚本。...详细分析 ▾
✓ 用途与能力
名称/描述与实际功能匹配。唯一必需的环境变量是 FIGMA_TOKEN,这正是 Figma API 客户端所需的。脚本暴露只读端点(文件、评论、团队/项目列表)和图像导出——所有与声明的目的一致。
✓ 指令范围
SKILL.md 指示代理运行包含的 CLI 脚本,仅引用 FIGMA_TOKEN。脚本向 api.figma.com 发送 HTTP 请求,并下载 Figma 图像端点返回的图像 URL。该技能将导出的图像文件写入当前工作目录(在 README 中记录)。没有指令读取无关的本地文件或向意外的外部端点发送数据。
✓ 安装机制
未提供安装规格(仅指令技能,包含 Python 脚本)。没有自动下载或安装内容;没有安装程序拉取外部存档或第三方包。
✓ 凭证需求
仅需 FIGMA_TOKEN。该单个凭证与 Figma API 客户端成比例。README 适当地标记 FIGMA_TOKEN 为敏感。代码仅读取该环境变量,不请求其他凭证。
✓ 持久化与权限
always 为 false,技能不请求持久性或修改其他技能或系统设置。它可以根据平台默认值自主调用,这是工具类技能的预期行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.32026/2/14
修复:使用适当的 metadata.openclaw.requires.env 结构声明 FIGMA_TOKEN 为必需环境变量 - 解决注册表元数据不一致问题
● 无害
安装命令 点击复制
官方npx clawhub@latest install kai-tw-figma
镜像加速npx clawhub@latest install kai-tw-figma --registry https://cn.clawhub-mirror.com
技能文档
该技能允许代理通过 REST API 与 Figma 文件交互。
设置
需要 Figma 个人访问令牌 (PAT)。 环境变量:FIGMA_TOKEN
过程
1. 读取文件结构
了解 Figma 文件内容(页面、框架、图层):python scripts/figma_tool.py get-file
2. 导出图像
以图像形式导出特定图层/组件:python scripts/figma_tool.py export --ids , --format --scale <1|2|3|4>
3. 检查评论
列出文件的最近评论:python scripts/figma_tool.py get-comments
参考
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制