by 安全扫描
OpenClaw
安全
high confidence该技能的说明、依赖及所需访问权限与其通过 Membrane proxy/CLI 与 MLflow 交互的既定目的保持一致。
评估建议
此技能看起来正如其所言:一组使用 Membrane CLI 作为代理来访问 MLflow 的指令。安装/使用前:(1) 确认你信任 Membrane 项目及 npm 包发布者 (@membranehq),因为 `npm install -g` 会全局安装远程代码;(2) 确认 Membrane 在凭据存储/刷新方面的隐私/安全策略(Membrane 将在服务器端处理你的 MLflow 认证);(3) 在受控环境中运行 CLI 命令(尤其是无头登录或粘贴验证码时);(4) 如果你不希望安装全局 npm 包,可考虑通过 npx 或在隔离环境中运行 CLI。总体而言,该技能逻辑自洽,但对第三方 Membrane 服务的信任是主要操作考量。...详细分析 ▾
✓ 用途与能力
技能命名为“Mlflow”,所有运行时指令均展示如何通过 Membrane CLI/proxy 与 MLflow 交互。要求用户安装并使用 Membrane CLI 与描述的集成功能保持一致。
✓ 指令范围
SKILL.md 将操作限定为安装/运行 Membrane CLI、创建连接、列出操作、执行操作以及代理请求至 MLflow。它未指示读取无关文件或收集无关环境变量,并明确建议由 Membrane 管理凭据。
ℹ 安装机制
技能包中无自动安装规范(仅指令),但指南要求用户运行 `npm install -g @membranehq/cli`。全局安装 npm 包对 CLI 而言是合理且常见的步骤,但需从公共 npm 仓库拉取代码并提升为全局 PATH——安装前应验证发布者及包的可信度。
✓ 凭证需求
技能未声明所需环境变量或凭据。它确实需要 Membrane 账户(通过浏览器登录处理)及网络访问,这与描述的功能相符。文档明确警告不要向用户索要 API 密钥,使凭据处理保持适度并委托给 Membrane。
✓ 持久化与权限
技能仅含指令,非常驻运行,也未请求修改其他技能或系统级代理设置。默认允许自主调用(平台默认),但未与其他敏感权限结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/4
Auto sync from membranedev/application-skills
● 无害
安装命令
点击复制官方npx clawhub@latest install mlflow
镜像加速npx clawhub@latest install mlflow --registry https://cn.longxiaskill.com