by 安全扫描
OpenClaw
安全
high confidence技能要求和运行指令与其声明的目的(调用自托管 Mixpost API)一致,仅请求预期的 Mixpost URL、工作空间 UUID 和访问令牌;无安装步骤或无关凭据。
评估建议
此技能看似合理,只需要您的 Mixpost URL、访问令牌和工作空间 UUID。安装前:(1)仅将 MIXPOST_URL 指向您控制或信任的 Mixpost 实例——凭据将发送到该 URL;(2)将 MIXPOST_ACCESS_TOKEN视为敏感信息,尽可能使用最小权限和过期令牌;(3)了解如果允许代理自主调用此技能,它可以使用这些凭据创建/发布帖子和上传文件;(4)如果后来撤销技能的访问,请旋转令牌并监视 Mixpost 审计日志中的异常活动。...详细分析 ▾
✓ 用途与能力
名称/描述、声明的环境变量(MIXPOST_URL、MIXPOST_ACCESS_TOKEN、MIXPOST_WORKSPACE_UUID)以及所有 curl 示例一致地针对 Mixpost API 表面。没有不相关的环境变量、二进制文件或配置路径被要求,这些对于社交媒体管理集成来说超出了范围。
✓ 指令范围
SKILL.md 包含仅 Mixpost API 端点(账户、媒体、标签、帖子等)的具体 curl 示例和一个简单的设置步骤,以导出三个所需的环境变量。指令不要求代理读取任意系统文件、其他环境变量或向用户提供的 MIXPOST_URL 之外的端点发送数据。注意:一些示例显示上传本地文件(curl -F file=@/path/to/...),这意味着如果执行则访问本地文件——这是媒体上传功能的预期行为,但值得注意。
✓ 安装机制
没有安装规范和代码文件被包含。这降低了表面积 —— 没有内容将被下载或由安装步骤写入磁盘。
✓ 凭证需求
三个所需的环境变量与技能的目的成比例。MIXPOST_ACCESS_TOKEN 被声明为主要凭据。没有不相关的秘密被请求。一个一般警告:MIXPOST_URL 由用户提供,可能指向任何主机,因此令牌和工作空间 UUID 将对提供的 URL 有效。
ℹ 持久化与权限
always:false(良好)。disable-model-invocation:false 表示代理可以自主调用技能——这是平台默认值,必要用于代理驱动的任务。请记住,凭借有效凭据,代理(如果运行时允许)可以在您的 Mixpost 实例上执行状态更改操作(创建帖子、上传媒体);这是此技能的预期行为,但只有在您信任代理和令牌的作用域时才应接受。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/4
Mixpost 技能的初始发布。- 提供与 Mixpost 集成,后者是一款自托管的社交媒体管理平台。- 支持使用文档 API 端点管理账户、媒体、标签和帖子。- 包括环境变量设置指令和 API 认证。- 提供常见操作的详细 curl 示例:安排帖子、上传媒体、管理标签等。- 允许从单一界面管理多个社交媒体平台的内容。
● 无害
安装命令
点击复制官方npx clawhub@latest install mixpost
镜像加速npx clawhub@latest install mixpost --registry https://cn.longxiaskill.com
技能文档
Mixpost 技能
Mixpost 是一款自托管的社交媒体管理软件,帮助您跨多个平台(包括 Facebook、Twitter/X、Instagram、LinkedIn 等)安排和管理社交媒体内容。
设置
- 导航到您的 Mixpost 仪表板
- 从用户菜单中点击 访问令牌
- 点击 创建 生成新令牌
- 获取您的工作空间 UUID:前往 社交账户 页面,点击任一账户的 3 个点菜单,复制工作空间 UUID
- 设置环境变量:
export MIXPOST_URL="https://your-mixpost-instance.com/mixpost"
export MIXPOST_ACCESS_TOKEN="your-access-token"
export MIXPOST_WORKSPACE_UUID="your-workspace-uuid"
测试连接
curl -X GET "$MIXPOST_URL/api/ping" \
-H "Authorization: Bearer $MIXPOST_ACCESS_TOKEN" \
-H "Accept: application/json"
... (以下内容与原文相同,未翻译以保持代码块不变)