Wininsales crm
v1.0.5集成赢在销客CRM API,支持客户录入、查重、跟进记录及客户数据分析,管理客户全流程。
⭐ 0· 123·0 current·0 all-time
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
OpenClaw
Benign
high confidencePurpose & Capability
名称与描述(集成赢在销客CRM、客户录入/查重/跟进/分析等)与 SKILL.md 中列出的 API 方法(SearchExistingCustomers、CreateNewBusinessCustomer、AddCustomerVisit、AnalyzeCustomers、EmployeeAnalysis)一致。该 skill 没有要求额外云/系统凭据,所需的唯一敏感项是用户在首次使用时获取的 wininsales token,且文档明确把该 token 用于 MCP API 调用,这与目的相符。
Instruction Scope
SKILL.md 明确指示如何获取并使用用户 token、如何构造 HTTP POST 请求以及交互式工作流(询问字段、预览并确认后再提交)。这是按预期访问远端 CRM 服务所需的行为。需要注意的点:文档建议将 token 写入本地文件(TOOLS.md),这是一项实现细节且可能导致本地明文凭据被其他进程或用户读取;文档未声明在何处或如何安全地检索该本地 token(例如从受限配置或密码管理器读取)。此外,文档将 token 放在 URL 查询字符串中,这会增加通过日志或 Referer 泄露的风险(文档本身未对此风险做深入说明)。
Install Mechanism
这是 instruction-only 的 skill,未包含安装步骤或外部二进制/下载,风险较低——不会写入磁盘或安装第三方包。
Credentials
注册表里未声明任何 required env vars 或配置路径,SKILL.md 也未要求平台凭据。唯一敏感凭据是用户的 wininsales token,文档建议本地保存或使用密码管理器。总体上所需凭据与功能成比例,但将 token 存为本地文档(TOOLS.md)比使用受管密钥库更容易被误用或泄露。
Persistence & Privilege
技能没有设置 always:true,也没有安装脚本或修改其他技能/系统配置的说明。默认允许模型调用(平台默认)属于正常预期,不与其他风险因素合并。
Assessment
这是一个说明型技能,功能和所需凭据(用户提供的 wininsales token)在逻辑上是一致的。但在安装/使用前请注意:
- 仅在信任 https://www.wininsales.com/ 并确认该域名无误的情况下提供 token;若来源不明或主页/仓库缺失,应谨慎。
- 避免把 token 长期明文保存为普通文档(如 TOOLS.md);优先使用受信任的密码管理器或平台的安全凭据存储。
- 将 token 放在 URL 查询字符串会增加被日志或 Referer 泄露的风险;如果可能,优先在请求体或受保护的头部传递凭据,或咨询服务方的最佳实践。
- 注意提交给该 CRM 的客户数据将被发送到第三方(wininsales),在上传敏感个人数据前确认隐私合规与公司政策。
- 如果你需要更高的保证,要求技能提供发布方/源码或官方主页以便进一步核验;没有官方来源的技能即使内部一致,也增加了信任成本。Like a lobster shell, security has layers — review code before you run it.
latestvk9779qx56rn9g8dvg57g6zsgyx83zf5p
License
MIT-0
Free to use, modify, and redistribute. No attribution required.