by 安全扫描
OpenClaw
安全
high confidence该技能为纯指令型 Databowl 集成,始终使用 Membrane CLI 完成认证与操作;其需求与指令均与其既定目的保持一致。
评估建议
此技能逻辑一致:它使用 Membrane CLI 访问 Databowl,并通过 Membrane 的浏览器流程要求用户进行身份验证。安装前,请确认你信任 getmembrane.com 以及 npm 上的 @membranehq/cli 包。如果你不想安装全局 npm 包,可使用建议的 npx 命令。请注意,身份验证会建立一个由 Membrane 管理的连接——在授权前,请查看该连接器的权限以及 Membrane 账户的隐私/政策。详细分析 ▾
✓ 用途与能力
名称/描述称此集成与 Databowl 配合,所有运行时指令均使用 Membrane CLI 及 'databowl' connector key。未索取任何与 connector 式数据集成无关的凭据、二进制文件或安装步骤。
✓ 指令范围
SKILL.md 仅允许安装/使用 Membrane CLI、创建连接、列出/搜索/创建/运行操作以及轮询构建状态。它不会指示读取任意本地文件、其他技能的配置,或将数据泄露至非预期端点。
ℹ 安装机制
该技能建议通过 npm -g 安装 @membranehq/cli,或通过 npx 调用。对于 CLI 驱动的集成这是预期行为,但需要从 npm registry 安装代码,并可能修改主机环境(全局 npm bin)。使用 npx 可避免全局安装。未出现来自不受信任 URL 的下载或解压步骤。
✓ 凭证需求
未声明任何环境变量、配置路径或凭据。身份验证交由 Membrane 的交互式/浏览器流程处理;SKILL.md 明确建议不要向用户索取 API 密钥。所请求的权限与技能功能相匹配。
✓ 持久化与权限
该技能仅接受指令,always 为 false,不请求持久系统级权限,也不修改其他技能的配置。默认允许自主调用(平台正常),但未与其他敏感权限结合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/22
从 membranedev/application-skills 自动同步
● 无害
安装命令
点击复制官方npx clawhub@latest install databowl
镜像加速npx clawhub@latest install databowl --registry https://cn.longxiaskill.com