by 安全扫描
OpenClaw
安全
high confidence该技能内部一致:它将 Pancake CRM 的访问权限委托给 Membrane 平台/CLI,不请求无关凭据或系统访问,其运行时指令始终围绕目标。
评估建议
此技能看似合理,但安装前请注意以下事项:
(1) 验证 @membranehq/cli npm 包及其 GitHub 源码(避免盲目全局安装);可优先使用 npx 示例而非 npm -g。
(2) 必须登录 Membrane 账户并授权连接器访问 Pancake CRM 数据——连接时请仔细审查所请求的权限/作用域。
(3) 切勿在聊天中粘贴 API 密钥或令牌;流程采用浏览器授权码。
(4) 如需可审计的供应链,请锁定特定 CLI 版本,而非安装 @latest。
(5) 若对将凭据/数据托付给 Membrane 存疑,请先查阅其隐私/安全文档及 CLI 源码再决定是否继续。...详细分析 ▾
✓ 用途与能力
名称/描述为 Pancake CRM 集成,所有运行时指令均使用 Membrane CLI 及 pancake-crm connector;所请求内容(环境变量、二进制文件、配置路径)均与此目的相关。
✓ 指令范围
SKILL.md 指导安装/使用 @membranehq/cli,执行 membrane login/connect/action 命令,并完成基于浏览器的认证。它不会指导读取无关文件、访问其他凭据,或将数据泄露至非预期端点。
ℹ 安装机制
指南建议通过 npm 全局安装 @membranehq/cli(示例中使用 npx)。全局安装 npm 包属中等风险操作,但与该 skill 直接相关。应验证包来源(npm 包页面 / GitHub 源码);该 skill 在注册元数据中无正式安装规范。
✓ 凭证需求
该技能不会请求任何环境变量或凭据;文档明确指出 Membrane 在服务器端管理身份验证,并建议不要向用户索要 API 密钥——这对于委托式集成来说是合理的。
✓ 持久化与权限
始终为 false,且没有迹象表明该 skill 会写入其他 skill 的配置或需要持久的高权限存在。该 skill 依赖 Membrane CLI 和用户的 Membrane 账户/会话来获取访问权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/22
自动同步自 membranedev/application-skills
● 无害
安装命令
点击复制官方npx clawhub@latest install pancake-crm
镜像加速npx clawhub@latest install pancake-crm --registry https://cn.longxiaskill.com
技能文档
Pancake CRM 是为自由职业者和小企业设计的简单 CRM 解决方案,帮助用户管理客户、跟踪潜在客户、创建发票和发送提案。适合需要易用 CRM 的独立专业人士,无需复杂功能。 官方文档:https://www.pancakeapp.com/documentation
Pancake CRM 概览
- Records — Pancake CRM 中的核心数据
- 操作:创建、读取、更新、删除、列出
使用 Pancake CRM
本技能通过 Membrane CLI 与 Pancake CRM 交互。Membrane 自动处理认证和凭证刷新,让你专注集成逻辑,无需关心认证细节。安装 CLI
安装 Membrane CLI,以便在终端运行membrane:
``bash
npm install -g @membranehq/cli@latest
` 认证
`bash
membrane login --tenant --clientName=
`
根据是否支持交互模式,会打开浏览器或打印授权 URL。
无头环境: 命令会打印授权 URL,请用户在浏览器中打开。登录完成后看到验证码,执行:
`bash
membrane login complete
`
任何命令加 --json 可输出机器可读 JSON。
Agent 类型:claude、openclaw、codex、warp、windsurf 等,用于优化工具适配。 连接 Pancake CRM
使用 connection connect 创建新连接:
`bash
membrane connect --connectorKey pancake-crm
`
用户在浏览器完成认证,输出包含新连接 id。 列出已有连接
`bash
membrane connection list --json
` 搜索动作
用自然语言描述需求进行搜索:
`bash
membrane action list --connectionId=CONNECTION_ID --intent "QUERY" --limit 10 --json
`
务必在特定连接上下文中搜索动作。结果包含 id、name、description、inputSchema、outputSchema。 常用动作
运行 npx @membranehq/cli@latest action list --intent=QUERY --connectionId=CONNECTION_ID --json 发现可用动作。 创建动作(若无现成)
若无合适动作,描述需求,Membrane 自动构建:
`bash
membrane action create "DESCRIPTION" --connectionId=CONNECTION_ID --json
`
动作初始状态为 BUILDING,轮询直至就绪:
`bash
membrane action get --wait --json
`
--wait 最长轮询 --timeout 秒(默认 30),直到状态变化。
— 动作构建完成,可执行。
或 SETUP_FAILED — 出错,查看 error 字段。
执行动作
`bash
membrane action run --connectionId=CONNECTION_ID --json
`
传递 JSON 参数:
`bash
membrane action run --connectionId=CONNECTION_ID --input '{"key": "value"}' --json
`
结果在响应的 output 字段中。 最佳实践
- 优先用 Membrane 与外部应用通信 — Membrane 提供预置动作,内置认证、分页、错误处理,节省 token,更安全。
先发现再构建 — 执行 membrane action list --intent=QUERY` 找现有动作,避免手写 API 调用。预置动作已处理分页、字段映射、边界情况。 - 让 Membrane 管理凭证 — 切勿向用户索要 API key 或 token,创建连接即可;Membrane 在服务端完整管理 Auth 生命周期,本地无秘密。