Tmp — 谷歌工作空间 CLI(Gmail、日历、Drive、联系人、表格、文档)
v1.0.1Tmp 是一个谷歌工作空间的命令行接口(CLI),支持 Gmail、日历、Drive、联系人、表格和文档。它允许用户通过命令行管理谷歌工作空间服务,支持 OAuth 认证和 JSON 输出。然而,请注意包中包含的关于使用第三方 Maton API 网关的文档,这可能会将您的 API 调用和访问令牌路由到第三方提供商。确保您了解并信任此行为。
0· 1,000·3 当前·3 累计
by 安全扫描
OpenClaw
可疑
medium confidence该包包含预期的 gogcli CLI 源代码和 Homebrew 安装,但附加文档中包含一个单独的 Gmail 集成,要求设置 MATON_API_KEY 并通过 maton.ai 路由流量,这是一个未在顶级元数据中声明的环境变量/端点,适用于本地 Google OAuth CLI。
评估建议
该包大致看起来像开源的 gogcli CLI(Homebrew 公式 + 源文件),通过引用 Homebrew 轻量级安装该 CLI 与技能的顶级目的一致。然而,捆绑的 Gmail 文档还描述了使用 Maton 管理的网关,并要求您设置 MATON_API_KEY 并调用 maton.ai 端点。这在技能的顶级要求中未声明,并将 Google API 调用(以及有效的访问令牌)路由到第三方。安装或提供任何 API 密钥之前,请:- 决定是否想要本地 OAuth 流(gog 身份验证凭据 + gog 身份验证添加)或使用托管网关。如果您想要仅本地,请忽略 MATON_API_KEY 并按照 gog 身份验证说明进行操作。- 不要设置 MATON_API_KEY 或粘贴机密,除非您信任 maton.ai。验证 Maton 服务、其隐私/安全策略以及您是否打算将 API 流量委托给该提供商。- 确认 Homebrew 轻量级来源:引用了 brew tap steipete/tap;安装前验证轻量级指向预期的 GitHub 存储库(steipete/gogcli)和公式的 URL/sha256...详细分析 ▾
ℹ 用途与能力
技能描述和顶级 SKILL.md 与谷歌工作空间 CLI (gog/gogcli) 匹配,安装规格 (brew steipete/tap/gogcli) 与该目的一致。然而,包根/清单和注册元数据不一致(技能名称/缩略图 'Tmp' vs. 存储库内容为 'gogcli'),并且捆绑包还包括一个单独的 gmail/SKILL.md,它记录了使用第三方 Maton API 网关的用途 — 这是一项未在顶级要求或主要描述中反映的功能。brew 安装和所需的 'gog' 二进制文件与声明的 CLI 目的成比例。
⚠ 指令范围
顶级 SKILL.md 指示正常的 gog CLI 使用和本地 OAuth 凭据设置。但是,包含的 gmail/SKILL.md 指示用户设置 MATON_API_KEY 并调用 https://gateway.maton.ai 和 https://ctrl.maton.ai(包括读取 os.environ['MATON_API_KEY'] 的代码样本)。这将用户凭据/API 密钥拉取到第三方网关,并将网络流量从 googleapis.com 重定向到 maton.ai。这一指令访问了一个未在技能声明的 requires.env 中声明的环境变量 (MATON_API_KEY),代表了从本地 OAuth CLI 到托管网关流的范围蔓延。
✓ 安装机制
安装条目是一个 Homebrew 公式 (steipete/tap/gogcli),这是一个 CLI 的典型且低风险的安装机制。代码文件是完整的 gogcli 存储库(许多源文件),而不是隐藏脚本或远程下载。安装规格中未使用高风险的任意 URL 下载或 URL 缩短器。
⚠ 凭证需求
顶级元数据声明没有必需的环境变量,这适用于一个管理本地 OAuth 的用户调用 CLI。但是,包含的 gmail 子文档要求 MATON_API_KEY 并显示将发送该 API 密钥到 maton.ai 端点的代码。为第三方网关请求 API 密钥与声明的本地 CLI 目的不成比例,并且未在技能的 requires.env 中声明。这是一个意外的凭据请求,值得谨慎对待。
✓ 持久化与权限
技能没有请求 always:true,并使用正常的用户可调用/自主调用默认值。包含的 CLI 将 OAuth 令牌存储在 OS 密钥环/配置中 — 这是 CLI 的预期行为。包中未声明对其他技能或系统范围设置的更改,超出正常的密钥环/配置写入。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/19
初始公开发布,功能包括全面谷歌工作空间 CLI。- 添加了用于 Gmail、日历、Drive、联系人、表格和文档的 CLI 工具。- 包含设置说明和常见命令示例。- 提供文档、元数据和安装支持。- 支持 OAuth 认证和 JSON 输出脚本。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install tmp
镜像加速npx clawhub@latest install tmp --registry https://cn.clawhub-mirror.com
技能文档
简介
Tmp 是一个用于管理谷歌工作空间服务(Gmail、日历、Drive、联系人、表格、文档)的命令行接口(CLI)。它支持 OAuth 认证和 JSON 输出,方便脚本化操作。安装
brew tap steipete/tap
git clone https://github.com/steipete/gogcli.git
cd gogcli
gem install bundler
gem bundle exec rake install
使用示例
- Gmail:
gog mail list - 日历:
gog calendar list - Drive:
gog drive list
注意:包中包含关于使用第三方 Maton API 网关的文档,可能会将您的 API 调用路由到第三方提供商。请确保您了解并信任此行为。
OAuth 认证
gog auth add --scope https://www.googleapis.com/auth/gmail.send
gog auth list
gog auth delete
JSON 输出支持
gog mail list --format json
gog drive list --format json
gog calendar list --format json
gog contacts list --format json
gog sheets list --format json
gog docs list --format json
安全提示
- 避免在公共环境中设置 MATON_API_KEY。
- 确保从信任的源安装软件。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制