by 安全扫描
OpenClaw
可疑
medium confidence指南与其声明的目的相符,但运行时指令引用了运行网络和部署命令(aws、curl、动态远程脚本加载)而没有声明所需的二进制文件或凭据 —— 这是一个值得注意的不一致。
评估建议
该指南对微前端很有用,但注意部署示例假设运行CLI/网络命令和加载远程JS。安装或允许代理使用此技能之前,请确认:(1)代理是否将执行 shell 命令(aws、curl),如果是,请提供仅限范围的凭据;(2)允许的网络访问 —— 动态远程Entry.js 加载执行第三方代码,应仅指向可信任的CDN/清单;(3)在技能元数据中添加明确的所需二进制文件/凭据,否则拒绝运行部署步骤。如果不希望代理执行部署或运行命令,请将技能限制为只读的架构指导。...详细分析 ▾
✓ 用途与能力
文件和 SKILL.md 描述了微前端设计、框架选择、通信、样式隔离和部署。所有内容与技能名称和描述相符。
⚠ 指令范围
SKILL.md 和参考文件包括具体的运行时步骤,假设执行网络/部署命令和运行时加载远程JS(例如,aws s3 sync、curl 到 https://api.example.com/manifest、fetch('/api/mfe-manifest')、动态远程Entry.js 加载)。该技能没有声明或限制这些操作;指令可能会导致代理运行CLI/网络操作或加载和执行第三方代码。
✓ 安装机制
这是仅指令的,没有安装规范,也没有默认执行的代码文件,从而最小化安装时风险。
⚠ 凭证需求
部署示例需要工具和凭据(用于s3 sync的AWS CLI、网络访问、可能的API身份验证以更新清单),但该技能没有声明所需的环境变量或二进制文件。这种不匹配意味着遵循这些指令的代理可能会尝试使用未请求或未范围的凭据或工具。
✓ 持久化与权限
always 为 false 且该技能是用户可调用。它不请求持久存在,也不修改其他技能的配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/8
初始发布:微前端指南,涵盖模块联邦、qiankun、single-spa、通信、样式隔离和部署
● 无害
安装命令
点击复制官方npx clawhub@latest install micro-frontend-arch
镜像加速npx clawhub@latest install micro-frontend-arch --registry https://cn.longxiaskill.com镜像同步中
技能文档
概述
微前端架构设计和实现指南,涵盖模块联邦、qiankun、single-spa、通信、样式隔离和部署。使用场景
- 设计微前端架构
- 选择微前端框架(模块联邦、qiankun、single-spa 等)