by 安全扫描
OpenClaw
安全
medium confidence该技能的请求和运行指令与其声明的目的(通过 Maton 网关代理 Zoho Books)一致,仅要求一个 API 密钥;主要风险在于信任 Maton 服务,因为技能将请求路由到该服务。
评估建议
该技能内部一致:使用 Maton 网关访问 Zoho Books 且仅需要 MATON_API_KEY。安装前,请验证您信任 maton.ai(隐私/安全、数据处理),仅提供最小权限 API 密钥,考虑创建一个专用 Maton 帐户,审查 https://ctrl.maton.ai 的 OAuth 连接,并谨慎允许自动代理调用,因为代理可以通过 Maton 访问您的 Zoho 数据。如果需要来源,请在提供凭据前向发布者请求主页或组织身份。...详细分析 ▾
✓ 用途与能力
该技能通过 Maton 网关暴露 Zoho Books 端点,仅请求 MATON_API_KEY。调用托管网关需要 API 密钥,与描述的托管 OAuth 集成一致。
✓ 指令范围
SKILL.md 仅指示代理调用 gateway.maton.ai 和 ctrl.maton.ai 端点,并读取 MATON_API_KEY 环境变量。它不要求代理读取无关文件、其他环境变量或本地系统状态。
✓ 安装机制
未提供安装规范或代码文件(仅指令)。这最小化了安装时风险,因为技能本身没有下载或写入磁盘。
ℹ 凭证需求
该技能要求一个环境变量 MATON_API_KEY,这与调用托管网关成比例。然而,该密钥可能授予 Maton 代理或代表 Zoho Books 连接的访问权限 — 因此,密钥授予了显著的访问权限,应视为敏感。
ℹ 持久化与权限
该技能不总是活动的,且可由用户调用。允许模型调用(正常),这意味着如果允许,代理可以自主调用 Maton 网关。这是预期行为,但如果您不信任 Maton 或提供的 API 密钥,会增加风险。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/2/8
添加了指定所需环境变量和自定义表情符号的新元数据部分,以兼容 clawdbot。技能功能和 API 行为无变化。文档和示例保持不变。
● 无害
安装命令
点击复制官方npx clawhub@latest install zoho-books
镜像加速npx clawhub@latest install zoho-books --registry https://cn.longxiaskill.com
技能文档
(由于原始内容过长且包含大量代码块和 Markdown 格式,以下仅提供简要翻译,保留原始代码块不翻译)
# Zoho Books 访问 通过托管 OAuth 认证访问 Zoho Books API。管理发票、联系人、账单、支出、销售订单、采购订单和其他财务数据,支持完整的 CRUD 操作。
... (保留原始代码块和 Markdown 格式,不进行翻译) ...