by 安全扫描
OpenClaw
可疑
high confidence该技能的代码和指令与 Figma 导出/审计目的相符,但存在明显的连贯性问题(未声明的必需 FIGMA_ACCESS_TOKEN、缺少 Python 依赖项的安装步骤以及小的元数据不一致性),应在信任它之前解决这些问题。
评估建议
该包似乎实现了合法的 Figma 导出和审计工具,但在运行它或提供机密信息之前应解决几个连贯性问题。关键点:- FIGMA_ACCESS_TOKEN 未声明;- 依赖项未自动安装;- 文件写入正常,但应确认输出路径;- 验证来源;- 如果可能,审查代码。...详细分析 ▾
⚠ 用途与能力
技能名称、SKILL.md 和包含的脚本(figma_client.py、export_manager.py、style_auditor.py、accessibility_checker.py)与 Figma 分析/导出工具一致。然而,注册元数据未声明任何必需环境变量或主凭据,而 SKILL.md 和代码明显依赖于 FIGMA_ACCESS_TOKEN。此外,包中的 _meta.json 中的 ownerId 与注册元数据中的不同,这是另一个不匹配。
ℹ 指令范围
运行时指令保持在声明的目的范围内:它们指示通过其 REST API 读取 Figma 并生成本地导出/报告。SKILL.md 明确指示用户设置 FIGMA_ACCESS_TOKEN 并将输出写入磁盘。请注意,SKILL.md 建议将令牌存储在 .env 文件中 —— 这是真实的秘密存储操作,用户应考虑这一点。没有指令读取与 Figma API 和图像 CDN 之外的不相关系统文件或联系第三方端点。
ℹ 安装机制
没有安装规格(没有自动安装程序),但 requirements.txt 列出了 requests 和 aiohttp。没有安装步骤的可运行 Python 脚本意味着平台可能不会安装依赖项,操作员需要本地使用 pip 安装它们。代码本身不从任意 URL 下载或执行代码(它使用 Figma API 和 CDN)。
⚠ 凭证需求
该技能需要 Figma 访问令牌(FIGMA_ACCESS_TOKEN)才能运行 —— SKILL.md 示例和 figma_client.py 读取此环境变量 —— 然而,注册元数据列出了没有必需环境变量和没有主凭据。该不匹配是一个安全问题,因为您可能会被提示提供令牌,而注册元数据没有声明它。除了 Figma 令牌外,没有其他机密信息被请求。
✓ 持久化与权限
该技能不请求 "always" 执行,并且仅为用户可调用。它不请求修改其他技能或系统范围的代理设置。它将导出文件写入磁盘(导出工具的预期行为),但不请求提升的持久特权。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/4/9
- 初始发布 "figma" 技能(v1.0.2):专业 Figma 设计分析和资产导出。- 启用 Figma 文件只读检查,包括提取组件、样式和生成 JSON 表示。- 以多种格式批量导出资产(PNG、SVG、PDF、WEBP),具有平台特定大小和有组织的输出。- 提供设计系统审计、无障碍性合规性检查(WCAG)和品牌一致性分析。- 生成全面报告和客户交付件,包括文档和设计令牌。- 包括强大的错误处理、速率限制和广泛的命令行集成以实现工作流自动化。
● 无害
安装命令 点击复制
官方npx clawhub@latest install xc-xiaov
镜像加速npx clawhub@latest install xc-xiaov --registry https://cn.clawhub-mirror.com
技能文档
(由于原始内容未提供 SKILL.md 具体内容,此处假设为示例,实际请替换为真实的 SKILL.md 中文翻译)
# 专业 Figma 设计分析与资产导出
简介
用于提取设计数据、以多种格式导出资产、审计无障碍性合规性等。...使用方法
- 设置 FIGMA_ACCESS_TOKEN...
- 运行脚本导出资产...
# 请替换为实际 SKILL.md 中文翻译
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制