by 安全扫描
OpenClaw
安全
high confidence该技能的要求和运行指令与查询麦当劳中国MCP的CLI一致,需要mcd-cn二进制文件和MCP令牌;没有发现任何不当或欺诈行为。
评估建议
该技能如所宣称:它封装了第三方mcd-cn CLI,需要您的麦当劳中国MCP令牌来读取优惠券,并可选自动领取。安装前:(1)审查Homebrew仓库/ GitHub仓库(ryanchen01/tap和链接的仓库)以确保信任来源;(2)了解令牌可以执行账户操作(如果不确定,请避免使用高价值账户);(3)避免将令牌提交到仓库——更好地使用安全凭证存储;(4)注意`.env`文件方法将令牌以明文存储在磁盘上。如果任何担忧不可接受,请不要安装公式或为该技能创建专用/测试账户。...详细分析 ▾
✓ 用途与能力
名称/描述、所需二进制文件(mcd-cn)和所需环境变量(MCDCN_MCP_TOKEN)与查询麦当劳中国MCP的CLI一致,支持活动日历/优惠券查询和自动领取操作。主要凭证是服务令牌,符合预期用途。
✓ 指令范围
SKILL.md仅指导使用mcd-cn CLI,并提到将令牌存储在环境变量或.env文件中。指令不要求代理读取无关系统文件或泄露数据。注意:如`auto-bind-coupons`命令执行账户影响操作,令牌授予服务写权限,可改变账户状态。
ℹ 安装机制
安装通过Homebrew公式(ryanchen01/tap/mcd-cn),这是正常的安装路径。由于这是第三方存储,用户在安装前应审查存储/主页(GitHub仓库),确保公式和二进制文件可信。
ℹ 凭证需求
该技能仅需要一个服务令牌(MCDCN_MCP_TOKEN),这是合理的。SKILL.md提到可选的MCDCN_MCP_URL环境变量和`.env`使用,但仅声明MCDCN_MCP_TOKEN为必需——小的不匹配。存储令牌在.env文件意味着本地文件可能包含敏感凭证;应相应处理。
✓ 持久化与权限
该技能不是始终启用,并不请求额外的持久系统权限。默认允许自主调用(技能的正常行为),但包中没有请求提升或系统范围的更改。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/17
mcd-cn初始版本发布:- 通过CLI查询麦当劳中国MCP服务器的活动日历和优惠券信息。- 默认人可读输出,支持脚本使用的JSON输出。- 提供查看活动日历、可用优惠券、自动领取等命令。- 需要MCP令牌(`MCDCN_MCP_TOKEN`)进行身份验证。- 令牌每分钟限600次请求。
● 无害
安装命令 点击复制
官方npx clawhub@latest install mcd-cn
镜像加速npx clawhub@latest install mcd-cn --registry https://cn.clawhub-mirror.com
技能文档
mcd-cn 麦当劳中国MCP CLI
默认人可读输出,--json用于脚本输出。
安装
- Homebrew:
brew install ryanchen01/tap/mcd-cn
配置
MCDCN_MCP_TOKEN必需,从麦当劳中国MCP控制台获取。- 可选:
MCDCN_MCP_URL用于自定义服务器URL。
常用命令
- 活动日历:
mcd-cn campaign-calender - 指定日期日历:
mcd-cn campaign-calender --specifiedDate 2025-12-09 - 可用优惠券:
mcd-cn available-coupons - 自动领取优惠券:
mcd-cn auto-bind-coupons - 我的优惠券:
mcd-cn my-coupons - 当前时间:
mcd-cn now-time-info - JSON输出:
mcd-cn available-coupons --json
注意
- 令牌可通过
MCDCN_MCP_TOKEN环境变量或.env文件设置。 --specifiedDate日期格式为yyyy-MM-dd。- 令牌每分钟限600次请求。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制