by 安全扫描
OpenClaw
安全
high confidence该技能需求与说明均围绕Ogment CLI封装多SaaS集成展开,无越权请求;用户需自行确认授权范围与令牌存储风险。
评估建议
本技能仅封装Ogment CLI,让Agent经治理层调用已连接的SaaS,与描述一致。安装前:1) 确认信任npm包@ogment-ai/cli及ogment.ai官网;2) 理解授权流程:点击验证链接并批准,CLI即可获得Gmail、Notion、Slack等访问令牌;3) 登录时检查请求权限,仅批准可接受范围;4) 注意Agent默认可自动调用,如需最小权限可限制自动行为或仅连接必要账户。...详细分析 ▾
✓ 用途与能力
名称/描述声称通过Ogment CLI安全访问众多SaaS;技能需'ogment'二进制并记录CLI命令(auth、catalog、invoke)。节点包@ogment-ai/cli提供该二进制,jq为可选辅助,逻辑一致。
ℹ 指令范围
SKILL.md仅指示使用Ogment CLI(授权、目录、调用),未要求读取无关文件或环境变量。指示提取verificationUri并“作为可点击链接发送给人类”——符合设备/浏览器授权流程,但未提示在批准前检查请求权限。
✓ 安装机制
安装规范使用npm包(@ogment-ai/cli)创建'ogment'二进制,并用Homebrew安装jq。此为常规模式,非任意URL下载或解压。npm install是主要非平凡安装步骤(需适度信任该包及发布者)。
✓ 凭证需求
技能未声明必需环境变量或凭证。认证通过CLI的交互/网页验证流程完成(用户需手动批准)。此方式合理,但授权后CLI会存储令牌,可访问Gmail/Notion等——属正当但敏感能力。
✓ 持久化与权限
技能未请求always:true,不要求配置路径,也不修改其他技能。默认可自动调用(平台标准);结合委托SaaS访问,影响扩大但符合集成技能预期。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.32026/3/4
版本 1.0.3 (Ogment) - 简化入门与快速开始指引,加速设置。 - 移除可选的直接凭证文件配置;现依赖默认Ogment CLI认证流程。 - 更新快速开始登录步骤,强调可点击链接供人工批准。 - 扩展工具示例,新增 Slack 与 Supabase。 - 精简文档,聚焦核心工作流与常见模式。 - 元数据/内部需求微调:不再要求凭证文件。
● 无害
安装命令
点击复制官方npx clawhub@latest install ogment
镜像加速npx clawhub@latest install ogment --registry https://cn.longxiaskill.com