by 安全扫描
OpenClaw
安全
high confidence此技能仅提供 API 设计指南,不请求任何凭证,不安装代码,其指令与声明目的一致。
评估建议
该技能为离线文本指南,用于设计和审查 HTTP/JSON API,不访问凭证或文件系统。安装看似安全,但请在应用建议前验证与组织安全、兼容性和运营策略的对齐。如果需要机器可执行检查或集成(测试、CI 自动化、版本控制策略),请寻找或请求明确声明这些功能的技能。...详细分析 ▾
✓ 用途与能力
技能名称/描述与 SKILL.md 内容匹配,无与 API 设计无关的环境变量、二进制文件或配置路径请求。
✓ 指令范围
SKILL.md 仅包含 API 模型、HTTP 语义、错误、开发者体验和审查顺序的段落级指南,不指示代理读取文件、访问环境变量、调用外部端点或收集用户/系统数据。
✓ 安装机制
无安装规范和代码文件(仅指令)。安装过程中不会写入磁盘或下载任何内容。
✓ 凭证需求
技能不请求环境变量、凭证或配置路径;为设计/审查目的,不请求任何不当内容。
✓ 持久化与权限
技能标志显示默认行为(不总是:true),模型调用允许(平台默认)。无迹象表明技能尝试持久化或修改其他技能或系统范围配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/28
Http-api 技能初始发布。- 提供清晰一致的 RESTful HTTP/JSON API 设计和审查指南。- 覆盖资源建模、HTTP 方法、状态码、错误形状、幂等性和常见开发者体验模式。- 提出明确的审查步骤和避免的 API 设计陷阱。- 定义与相关技能(api-compat、graphql-schema、authentication)的边界。- 强调自助文档和健壮的错误处理。
● 无害
安装命令 点击复制
官方npx clawhub@latest install http-api
镜像加速npx clawhub@latest install http-api --registry https://cn.clawhub-mirror.com
技能文档
HTTP API 设计和审查
HTTP 接口 API(通常为 JSON):可预测的 URL、诚实的状态码和客户端可以构建的错误——无需 复制 api-compat 技能中关于长期版本控制策略的所有内容。
范围
- 建模:名词/资源、集合、当 RPC 风格比假 REST 更清晰时的操作。
- HTTP 语义:哪些方法、幂等性、当相关时的缓存头。
- 错误:稳定的机器可读代码、关联 ID、避免泄露内部信息。
- 开发者体验:示例、OpenAPI 片段、一致的分页/过滤模式。
不在范围内(交付)
- OAuth/OIDC 协议细节 → 身份专用技能。
- GraphQL-only 模式设计 → graphql-schema 技能。
- 多年弃用策略 和客户迁移程序 → 配对使用 api-compat。
审查顺序
- 读路径 — 客户端是否可以在不猜测的情况下导航域?
- 写安全 — 重试安全? 处理重复提交?
- 错误 — 一致的形状; 4xx vs 5xx 诚实。
- 演进 — 文档中什么会变化 vs 什么是稳定的(兼容细节在 api-compat 中)。
设计陷阱
- 状态 200 与
{error: ...}; 每个 POST 返回 200; 无限列表端点; 错误体中包含秘密。
完成条件
- 新工程师可以仅凭文档调用 API; 失败案例是 可测试 和 一致 的。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制