by 安全扫描
OpenClaw
安全
high confidence该技能内部一致:仅为指令型集成,将 ICEPAY 访问委托给 Membrane CLI/proxy,不请求无关凭据或系统访问,但需信任外部 Membrane 服务并从 npm 安装 CLI。
评估建议
该技能看起来连贯且功能相符:它告诉你使用 Membrane CLI 作为代理与 ICEPAY 交互。安装或使用前:(1) 确认你信任 Membrane(https://getmembrane.com),并查看其隐私/安全及支付卡数据(PCI)处理方式,因为请求和凭据会通过其服务代理。(2) 优先使用 `npx @membranehq/cli@latest` 而非全局 `npm -g` 安装,避免修改系统 PATH,或在安装前在 npm 仓库/GitHub 检查该包。(3) 首次执行修改支付或商户状态的操作时,使用非生产/测试账户。(4) 若想限制自主代理活动带来的风险,约束或监控代理调用该技能的能力(审计连接 ID 与操作运行)。(5) 在 npm/GitHub 上确认包名与仓库所有权,避免误拼钓鱼包。以上步骤可在使用集成的同时降低风险。...详细分析 ▾
✓ 用途与能力
名称/描述与说明一致:SKILL.md 指导代理使用 Membrane CLI 与 ICEPAY 交互(连接器、操作及代理请求)。所有必需能力(网络访问、Membrane 账户)与所述目的成比例。
ℹ 指令范围
指令保持在 ICEPAY 集成范围内(通过 Membrane 登录、创建连接、列出/运行操作、代理请求)。未指示读取无关文件或环境变量。注意:文档要求用户安装并运行第三方 CLI,并执行登录流程,将打开浏览器(或返回无头流程的验证码)。代理也可能运行更改支付数据的操作——因此建议采取运营防护措施。
ℹ 安装机制
注册表中无自动安装说明;SKILL.md 指示用户运行 `npm install -g @membranehq/cli` 或使用 `npx`。这是获取 CLI 的标准方式,但伴随常规 npm 风险(网络下载、全局写入)。因安装需手动/用户触发且来自 npm,风险适中但在 CLI 集成中属预期。
✓ 凭证需求
该技能未声明所需环境变量或凭据。它明确将凭据管理委托给 Membrane,对此集成而言是合理选择。主要比例性注意点是使用 Membrane 意味着认证/请求/可能的支付数据将经过 Membrane 的服务器——这在预期之内,但从隐私/安全角度值得了解。
✓ 持久化与权限
该技能仅为指令型,不请求 always:true 或任何提升的持久权限。不会修改其他技能或平台设置。用户可能引入的唯一持久化是自行安装 Membrane CLI。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/7
Auto sync from membranedev/application-skills
● 可疑
安装命令
点击复制官方npx clawhub@latest install icepay
镜像加速npx clawhub@latest install icepay --registry https://cn.longxiaskill.com
技能文档
官方文档:https://developer.icepay.com/
ICEPAY 概览 - Payment - Payment Link - Merchant - Report
使用 ICEPAY 本技能通过 Membrane CLI 与 ICEPAY 交互。Membrane 自动处理身份验证与凭据刷新——你只需关注集成逻辑,无需操心授权细节。
安装 CLI 安装 Membrane CLI,以便在终端运行 membrane: ``bash npm install -g @membranehq/cli
首次配置 bash membrane login --tenant 浏览器会打开进行身份验证。
首次配置 bash membrane login --tenant
无头环境: 运行命令后,将打印出的 URL 复制给用户,在浏览器中打开,然后用 membrane login complete 完成。连接到 ICEPAY 1. 创建新连接: `bash membrane search icepay --elementType=connector --json ` 从 output.items[0].element?.id 获取 connector ID,然后: `bash membrane connect --connectorId=CONNECTOR_ID --json ` 用户在浏览器完成身份验证,输出中包含新的 connection id。
获取已有连接列表 不确定连接是否已存在时: 1. 检查已有连接: `bash membrane connection list --json ` 若已存在 ICEPAY 连接,记下其 connectionId
搜索 action 当你知道想做什么但不知道具体 action ID 时: `bash membrane action list --intent=QUERY --connectionId=CONNECTION_ID --json ` 该命令返回包含 id 与 inputSchema 的 action 对象,方便你知道如何运行。
常用 action 使用 npx @membranehq/cli@latest action list --intent=QUERY --connectionId=CONNECTION_ID --json 发现可用 action。
运行 action `bash membrane action run --connectionId=CONNECTION_ID ACTION_ID --json ` 如需传入 JSON 参数: `bash membrane action run --connectionId=CONNECTION_ID ACTION_ID --json --input "{ \"key\": \"value\" }"
代理请求 当现有 action 无法满足需求时,可通过 Membrane 的代理直接向 ICEPAY API 发送请求。Membrane 自动在提供的路径前拼接 base URL,并注入正确的身份验证头——若凭据过期也会自动刷新。 bash membrane request CONNECTION_ID /path/to/endpoint 常用选项:
| 标志 | 说明 | |------|------| | -X, --method | HTTP 方法(GET、POST、PUT、PATCH、DELETE)。默认 GET | | -H, --header | 添加请求头(可重复),例如 -H "Accept: application/json" | | -d, --data | 请求体(字符串) | | --json | 简写:发送 JSON 体并设置 Content-Type: application/json | | --rawData | 原样发送请求体,不做任何处理 | | --query | 查询字符串参数(可重复),例如 --query "limit=10" | | --pathParam | 路径参数(可重复),例如 --pathParam "id=123" |
最佳实践 - 始终优先使用 Membrane 与外部应用通信——Membrane 提供预置 action,内置身份验证、分页与错误处理,可节省 token 并提升安全性。
先发现再构建——运行 membrane action list --intent=QUERY`(将 QUERY 替换为你的意图)查找现有 action,再编写自定义 API 调用。预置 action 会处理分页、字段映射及边界情况,而原始 API 调用容易遗漏。 - 让 Membrane 管理凭据——绝不要求用户提供 API 密钥或令牌。创建连接即可;Membrane 在服务端完整管理 Auth 生命周期,本地无敏感信息。