by 安全扫描
OpenClaw
安全
high confidence该技能为纯指令集成,将 Cometly 访问权限清晰委托给 Membrane CLI,不请求无关凭据或提权。
评估建议
技能内部一致:需安装并使用 Membrane CLI,通过浏览器登录 Membrane 完成鉴权。安装前请核实 @membranehq/cli 包及 Membrane 项目主页与 GitHub 仓库,确保信任发布者。若希望降低主机影响,可在容器或 VM 中运行 CLI,而非全局安装。连接后 CLI 可代理任意 Cometly API 请求,因此仅连接您愿意暴露给 Membrane 的账户,切勿向未知提示粘贴敏感令牌。提供的包为纯指令,无扫描发现。...详细分析 ▾
✓ 用途与能力
名称/描述(Cometly 集成)与指令一致:所有操作均通过 Membrane CLI 访问 Cometly,不请求无关环境变量、二进制文件或配置路径。
✓ 指令范围
SKILL.md 仅指示安装并使用 Membrane CLI、创建连接、列举操作、运行操作及通过代理调用 Cometly API,未指示读取任意文件、窃取系统数据或通过 OAuth/浏览器流程外访问凭据。
ℹ 安装机制
本技能为纯指令(无安装规范),但提示用户运行 npm install -g @membranehq/cli。全局 npm 安装会修改主机环境,这是 CLI 工作流的预期行为,需经用户明确批准(验证发布者,如担心可采用非全局安装或容器化方案)。
✓ 凭证需求
技能未声明所需环境变量或密钥,身份验证通过 Membrane 登录浏览器流程完成,未请求 AWS、GitHub 令牌等无关凭据。
✓ 持久化与权限
技能未请求 'always: true',也不修改其他技能或系统级配置,依赖 Membrane 服务进行身份/会话管理,技能本身未请求持久权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/27
Revert refresh marker
● 无害
安装命令
点击复制官方npx clawhub@latest install cometly
镜像加速npx clawhub@latest install cometly --registry https://cn.longxiaskill.com