by 安全扫描
OpenClaw
可疑
high confidence技能基本符合Figma集成描述,但包含未声明权限的bootstrap/token-scanner,读取本地凭证存储并写入OpenClaw配置,存在安全风险,建议在运行前检查。
评估建议
["在安装或运行技能前,请检查脚本bootstrap-token.mjs和token-scanner.mjs的源代码,确保不传输令牌或访问意外端点。","若仅需使用技能,建议手动配置Figma MCP令牌,避免运行自动扫描脚本。","必要时在隔离环境中运行bootstrap步骤,监控网络连接。","向发布者询问明确的文件路径和凭证存储列表,确保令牌不被泄露。"]...详细分析 ▾
⚠ 用途与能力
技能声明的用途是Figma MCP集成(读/写设计操作)
⚠ 指令范围
SKILL.md和README指示运行访问本地凭证存储并修改代理配置的脚本
ℹ 安装机制
无远程下载;脚本捆绑并在Node下本地运行
⚠ 凭证需求
技能预期Figma MCP令牌并未声明就扫描其他客户端的凭证存储
ℹ 持久化与权限
写入OpenClaw配置并访问其他客户端的凭证,升高特权
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.3.02026/4/3
版本0.3.0 - 添加了执行模型章节,强调了完成门槛的结构和视觉验证,工作流路由和文档改进,无功能或API破坏性变更。
● 可疑
安装命令
点击复制官方npx clawhub@latest install figma-agent
镜像加速npx clawhub@latest install figma-agent --registry https://cn.longxiaskill.com
技能文档
(由于原始内容过长,以下仅提供部分翻译,重点部分请参考原文)
# Figma Agent Figma远程MCP集成...
路由
读/检查 → 直接调用figma__* 工具...执行模型:
- 路由与简报 — 选择工作流,识别真实风险,撰写简洁执行简报
- 执行 — 执行直接读或CC基于写流
- 完成门槛 — 不通过结构和视觉验证检查前不报告成功