Skill flagged — suspicious patterns detected
ClawHub Security flagged this skill as suspicious. Review the scan results before using.
尤里改 Facebook Graph API 代理服务使用指南
v1.0.0尤里改 Facebook Graph API 代理服务使用指南
⭐ 0· 93·0 current·0 all-time
byzhou@evte
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
medium confidencePurpose & Capability
名称与描述都表明这是一个把 Facebook Graph API 请求代理到 baiz.ai 的指南。SKILL.md 要求使用 baiz.ai 的 BAIZ_API_TOKEN 来替换原始 Facebook token,这与代理用途一致。
Instruction Scope
运行时说明只要求替换域名并在 Authorization 头使用 BAIZ_API_TOKEN,未请求其它系统路径或凭据。说明中提到代理将“根据请求路径自动解析并注入对应的 Facebook Access Token”,这是一对外提供的行为说明(需要信任代理),并非直接访问本地系统资源;该行为带来隐私/信任风险但并不与说明冲突。
Install Mechanism
无安装规范、无代码文件,属于 instruction-only,平台不会在本地写入或执行额外下载内容——安装风险最低。
Credentials
SKILL.md 明确要求 BAIZ_API_TOKEN(敏感、必须),这与代理服务目的相称。但注册表元数据在“Required env vars”处显示为 none,与 SKILL.md 声明不一致——这是元数据不匹配,应在安装前澄清。
Persistence & Privilege
技能未要求 always:true,也无安装脚本或修改其他技能/系统配置的指令;不会要求长期驻留或提升平台权限。
Assessment
这是一个把所有 Facebook Graph API 请求转发到第三方域(facebook-graph.baiz.ai)的说明性技能;在使用前请注意:
- 该技能需要你向 baiz.ai 提供 BAIZ_API_TOKEN(敏感凭据),并把所有 API 请求流量发给 baiz.ai,代理方将能看到请求与返回的数据(可能包含私人信息)。仅在你信任 baiz.ai 并已阅读其隐私/数据保留政策时使用。
- 在生产环境或对隐私敏感的账户上不要直接使用:先用最小权限的测试账户或测试广告账号验证行为与授权逻辑。
- 注意注册表元数据与 SKILL.md 不一致:注册表显示无必需 env,而 SKILL.md 要求 BAIZ_API_TOKEN;在安装/启用前确认平台如何提供或存储该 token。
- 验证代理的承诺:SKILL.md 提到“自动注入 Facebook Access Token”,请确认实际代理行为(日志、权限范围、是否持有/管理你的 Facebook 帐户授权),并审计代理请求的范围与日志。
- 如果你不想把请求发给第三方,继续直接调用 graph.facebook.com 并使用自己的 Facebook access_token。
基于以上,技能内部逻辑基本一致,但在隐私信任与元数据准确性上需要明确与谨慎。Like a lobster shell, security has layers — review code before you run it.
latestvk97ank0s2j3px1y5etyrae3bpn834qq7
License
MIT-0
Free to use, modify, and redistribute. No attribution required.