by 安全扫描
OpenClaw
安全
high confidence该技能行为与描述一致:读取/写入本地 Bark 密钥并向 api.day.app 发起 HTTP 请求发送通知,未请求超出范围的操作。
评估建议
该技能与其目的一致,但执行两项敏感操作:会执行 curl(网络访问)并将 Bark 密钥以明文写入 ~/.bark/key。仅在你信任代理的情况下安装/使用。建议预防措施:(1)如可能,提供一次性或受限的 Bark 密钥;(2)优先按需输入密钥而非永久保存;(3)若保存密钥,设置严格权限(chmod 600 ~/.bark/key)并在不再需要时删除文件;(4)确认代理无其他意外的 shell/网络权限;(5)若不想使用公共 api.day.app,可考虑自建 Bark 端点。若你不愿让代理将密钥写入磁盘,可手动通过 curl 发送 Bark 通知。...详细分析 ▾
✓ 用途与能力
名称/描述(Bark 推送通知)与指令一致:技能读取 Bark 密钥并向 Bark API 发送请求。未请求无关凭据、二进制文件或安装。
ℹ 指令范围
指令范围限定为读取/写入 ~/.bark/key 并通过 curl 调用 Bark API。这符合所述目的,但技能明确指示代理将明文密钥写入用户主目录并执行 shell 命令(curl),这些是用户应同意的隐私/安全相关操作。
✓ 安装机制
无安装规范或外部下载;技能仅含指令,因此安装程序不会向磁盘写入任何内容。这是最低风险的安装方式。
ℹ 凭证需求
未请求环境变量或外部凭据。唯一机密是存储在 ~/.bark/key 的 Bark 密钥(明文)。请求单个服务密钥是合理的,但在主目录明文存储存在隐私风险。
ℹ 持久化与权限
always:false 且 user-invocable:true(正常)。技能在用户主目录读写文件(~/.bark/key),赋予其持久本地状态;不修改其他技能或系统级设置。用户应注意,除非手动删除,代理将在磁盘保留该密钥。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/3
- 首次发布 Bark 技能,用于通过 Bark 应用向 iOS 设备发送推送通知。 - 支持在 `~/.bark/key` 中设置和存储 Bark 密钥,未找到时提示用户。 - 提供简洁指令,支持快速 GET 通知及更健壮的 POST 通知(支持特殊字符与多行内容)。 - 允许自定义标题、副标题、URL、声音、分组、级别及紧急提醒等参数。 - 包含首次设置指导与缺失 Bark 密钥的处理提示。 - 可通过“push to iPhone”、“send a Bark notification”或“bark一下”等短语触发。
● 无害
安装命令
点击复制官方npx clawhub@latest install bark
镜像加速npx clawhub@latest install bark --registry https://cn.longxiaskill.com
技能文档
`` GET https://api.day.app/{key}/{body}
带标题发送:
GET https://api.day.app/{key}/{title}/{body} 带标题和副标题发送:
GET https://api.day.app/{key}/{title}/{subtitle}/{body} ## POST 请求(推荐用于多行或特殊字符) 使用 POST + --data-urlencode 处理纯文本、换行及特殊字符:
bash KEY=$(cat ~/.bark/key) curl -s -X POST "https://api.day.app/$KEY" \ -d "title=Notification Title" \ --data-urlencode "body=First line Second line Third line" 注意:
使用 -d "title=..." 与 --data-urlencode "body=..." 分别设置标题与正文
正文中的换行需直接回车,不要用字符串 \n
自动 URL 编码,无需手动处理中文或特殊字符
切勿 使用 -d "body=multiline content" —— 换行在 form-data 中不会被保留
参数
Param Description title 通知标题,字号略大于正文 subtitle 副标题 body 通知正文,用 \n 表示换行 url 点击通知后打开的链接 group 消息分组,用于通知归类 icon 推送图标(iOS 15+) sound 通知声音,如 alarm、birdsong level active(默认,立即亮屏)/ timeSensitive(专注模式也显示)/ passive(仅加入列表,不亮屏) criticalAlert 设为 true 可在勿扰模式下播放声音(慎用)
使用方法 1. 从 ~/.bark/key 读取 key
若 key 文件不存在或为空,向用户索要 Bark key 并写入 ~/.bark/key
- 用 key 与用户提供的参数构建请求
- 通过 exec/curl 执行
- 确认通知已送达
示例 密钥保存在 ~/.bark/key:yourkey
标题:Meeting Reminder
正文:Team sync at 3pm tomorrow
curl -s -X POST "https://api.day.app/yourkey" \ -d "title=Meeting Reminder" \ --data-urlencode "body=Team sync at 3pm tomorrow" `
注意事项 - 若用户没有 Bark key,请让其安装 Bark 应用并从应用内复制测试 URL
默认公共服务器为api.day.app;Bark 亦支持自建服务器关键提醒(level=critical)可在勿扰模式下播放声音若使用call=1` 参数,声音将循环播放 30 秒