📦 feishu-bitable-builder — 飞书多维表搭建
v1.0.0从零到一搭建飞书多维表格系统,涵盖需求分析、架构设计、建表、字段配置、视图、自动化与仪表盘,一站式完成客户/项目/库存等数据管理。
0· 0·0 当前·0 累计
安全扫描
OpenClaw
可疑
medium confidence该技能文档描述了交互式飞书/多维表格操作(API/CLI 调用、所有权/权限变更),但包未声明执行这些操作所需的凭据、CLI 二进制文件或安装步骤——这一不匹配令人担忧。
评估建议
该技能看似是一份完整的飞书/多维表格操作指南,但遗漏了关键运行细节。安装或使用前:1) 要求作者声明所需二进制/CLI 工具并提供安装说明;2) 要求显式列出所有环境变量或 API 凭据(app_token、client_id/secret、机器人 token),并确保遵循最小权限;3) 在沙盒账户中审查并测试所有自动化与 HTTP webhook 目标——自动化可转移所有权、更改权限并调用外部端点;4) 绝不要向不信任的技能提供宽泛管理员凭据,应创建有限范围的服务账户进行测试;5) 索要源码/主页或维护者联系方式以验证来源并追责。若作者无法或不愿澄清这些缺口,请视该技能为高风险,避免授予真实凭据或生产访问权限。...详细分析 ▾
⚠ 用途与能力
SKILL.md 明确针对飞书多维表格(创建应用/表/字段、自动化、仪表盘)。然而指令引用了 CLI 工具(feishu_bitable_create_app、feishu_bitable_create_field、feishu_perm 等)并在未声明所需二进制或环境变量的情况下使用 app_token/token 参数。合法执行这些操作的技能通常需要飞书 API 凭据和/或上述 CLI 二进制文件存在;清单中却未提及。
⚠ 指令范围
运行时指令要求代理创建应用/表、运行自动化、调用 HTTP/Webhook 端点并转移所有权/权限。这些操作需访问令牌/凭据并具备网络/API 调用能力。SKILL.md 未说明凭据来源,也未限制可更改内容(例如指示将所有权转移给用户并保留机器人编辑权限),除非外部约束,否则技能可修改访问控制。
✓ 安装机制
这是一个纯指令型技能,无安装规范且无代码文件。从安装机制看风险较低,因为平台安装过程中不会下载或执行任何内容。然而运行时动作仍需外部工具/凭据,此处未声明。
⚠ 凭证需求
未声明任何环境变量或主要凭据,但示例和指令明显需要 app_token/token 等凭据。这种不匹配影响重大:技能运行需敏感凭据,却未声明、处理或说明其范围/最小权限要求。
✓ 持久化与权限
技能未请求 always:true,也未声明任何特殊持久权限或系统级配置更改。允许自主调用(平台默认),这扩大了操作范围,但本身并非进一步标记该技能的理由。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/12
● 无害
安装命令
点击复制官方npx clawhub@latest install feishu-bitable-builder
镜像加速npx clawhub@latest install feishu-bitable-builder --registry https://cn.longxiaskill.com