by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了合法的 Canva Connect 集成,但注册元数据缺少必需的凭证,声明的要求与运行时指令/文件不匹配 — 安装前请审查。
评估建议
该技能看起来是一个合理的 Canva Connect 集成,但元数据存在重要不匹配:注册声明没有必需的环境变量,而 SKILL.md 和脚本需要 CANVA_CLIENT_ID 和 CANVA_CLIENT_SECRET,并将存储 OAuth 令牌在 ~/.canva/tokens.json。安装前:(1) 确认技能源(检查 GitHub 仓库 URL 和作者),(2) 确保您愿意提供 Canva 客户端 ID/密钥并在主目录存储令牌(auth 脚本设置文件模式 600),(3) 在本地运行包含的脚本并自行检查(它们仅调用 api.canva.com),(4) 请求发布者修复注册元数据以声明必需的环境变量。如果您对自动调用感到不舒服,请在代理设置中限制技能或拒绝自动模型调用。...详细分析 ▾
ℹ 用途与能力
名称/描述和脚本/SKILL.md 一致地实现了 Canva Connect API 集成(列出设计、自动填充、导出、上传)。然而,提交顶部的注册元数据列出了没有必需的环境变量,而 SKILL.md 和脚本明确需要 CANVA_CLIENT_ID 和 CANVA_CLIENT_SECRET。这种不匹配是一个不一致性(可能是作者或元数据错误),应该解决。
✓ 指令范围
SKILL.md 和包含的脚本将运行时操作限制在 Canva Connect API(api.canva.com)、用户主目录(~/.canva/tokens.json)和本地实用工具(curl、jq、openssl)上。指令不尝试读取无关的系统文件或联系未知的第三方端点。
✓ 安装机制
没有安装脚本或远程下载;这是仅有指令的本地 shell 脚本。脚本包含在包中(没有外部任意代码下载或提取)。
ℹ 凭证需求
运行时所需的唯一敏感值是 CANVA_CLIENT_ID 和 CANVA_CLIENT_SECRET(以及本地保存的 OAuth 令牌)。这些对于 Canva Connect 集成是合适和比例的。问题是注册元数据没有声明这些必需的环境变量(声明为 'none'),因此依赖注册信息的自动检查或用户可能会被误导。
ℹ 持久化与权限
该技能将 OAuth 令牌存储在 ~/.canva/tokens.json 中(脚本创建目录并设置文件模式 600)。对于 OAuth 客户端,这是预期的,但注意它在用户主目录中写入和读取文件。该技能不是 'always: true',也不修改其他技能或全局代理配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/1/29
Canva 技能的初始公开发布。- 通过 Connect API 创建、导出和管理 Canva 设计。- 支持生成社交媒体帖子、轮播图和图形。- 包括列出、创建、导出设计、上传资产和管理模板的操作。- 提供详细的使用说明、身份验证步骤和错误处理指南。- 设置需要 Canva API 凭证(客户端 ID 和秘密)。
● 无害
安装命令
点击复制官方npx clawhub@latest install canva
镜像加速npx clawhub@latest install canva --registry https://cn.longxiaskill.com
技能文档
创建、导出和管理 Canva 设计通过 Connect API。
何时使用
- "创建关于[主题]的 Instagram 帖子"
- "以 PNG 格式导出我的 Canva 设计"
- "列出我的最近设计"
- "从这些点创建轮播图"
- "上传这张图片到 Canva"