ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Erxes

v1.0.2

Manage contacts, companies, products, tags, documents, brands, automations, team members, and organization data on a local erxes instance. Use when the user...

0· 45·0 current·0 all-time
by@wlkr123
Security Scan
Capability signals
Requires OAuth tokenRequires sensitive credentials
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
The name, description, docs, and the included Python script all align: they implement OAuth device flow and GraphQL calls to an erxes instance. However the registry metadata claims no required env vars while SKILL.md explicitly requires ERXES_BASE_URL and the script reads ERXES_CLIENT_ID / ERXES_CLIENT_SECRET / ERXES_LOCAL_STATE — this discrepancy is unexpected and should be corrected.
!
Instruction Scope
SKILL.md instructs the agent to use the provided login command and not to prompt the user or show the verification URL. The included auth doc (erxes-app-token-auth.md) states the client_id may be requested from the user if absent and explains showing the verification_url to the user. The script itself will open a browser and poll, and it stores tokens on disk. These differences (do not ask vs ask; do not show URL vs show URL) are inconsistent and give the agent hidden discretion about user prompting and token handling.
Install Mechanism
Instruction-only + small included script; no install spec, no downloads, no extra packages. Lowest install risk.
!
Credentials
Registry metadata lists no required env vars, but SKILL.md requires ERXES_BASE_URL and the script reads ERXES_CLIENT_ID, ERXES_CLIENT_SECRET, and ERXES_LOCAL_STATE. The script will persist tokens (accessToken/refreshToken) to a file (default .auth.json). Sensitive values (refreshToken, accessToken, possibly client_secret) are created/used and may be written to disk — these should be explicitly declared and justified in the metadata.
Persistence & Privilege
The skill does not claim always:true and does not modify other skills. It does persist OAuth tokens to a local state file (default path next to the repo parent: .auth.json) and can refresh tokens automatically. Persistent tokens increase blast radius if ERXES_BASE_URL points to a remote/untrusted host or if the state file location is insecure.
What to consider before installing
This package appears to implement a legitimate erxes CLI: it opens a browser to complete an OAuth device flow and then calls the GraphQL API. Before installing or running it, verify the following: (1) The skill actually requires ERXES_BASE_URL — set it only to a trusted erxes gateway (don't point it at unknown remote servers). (2) The script will create and update a local state file (default: .auth.json in the repository parent) that contains access and refresh tokens; set ERXES_LOCAL_STATE to a secure path or remove/secure that file after use. (3) The registry metadata should list the required env vars (ERXES_BASE_URL, and optionally ERXES_CLIENT_ID and ERXES_CLIENT_SECRET); treat client_secret and refresh tokens as sensitive. (4) Decide whether you want the agent to be able to invoke the skill autonomously — it can refresh tokens and make GraphQL calls without further prompts. If you need more assurance, ask the publisher to correct the metadata and clarify the UX differences between SKILL.md and the auth doc (who will be prompted, what is shown to users), and inspect the token file contents yourself before trusting automatic use.

Like a lobster shell, security has layers — review code before you run it.

latestvk97947ad7hj6z8m1v0x93xgjp185651y
45downloads
0stars
3versions
Updated 13h ago
v1.0.2
MIT-0
@wlkr123
latest
Download

erxes– Чадварууд

⚠️ Нэвтрэлтийн дүрмүүд — заавал дагах

Эдгээр дүрмийг зөрчвөл login давтагдана.

Дүрэм 1 — зөвхөн login командыг ашигла

ERXES_BASE_URL=<url> python3 scripts/erxes_local.py login --subdomain <subdomain>
  • ERXES_BASE_URL нь export хэрэглэлгүй командын өмнө шууд өгнө
  • Хэрэглэгч URL-г ямар хэлбэрт ч өгсөн (ERXES_BASE_URL https://..., base https://..., зүгээр URL) — тэр URL-г ERXES_BASE_URL=<url> болгон ашиглана
  • login-start, login-finish командыг хэзээ ч ашиглахгүй
  • ERXES_CLIENT_ID тохируулах шаардлагагүйerxes-local автоматаар ашиглагдана
  • --subdomain нь localhost, msmgroup, https://msmgroup.next.erxes.io аль хэлбэрт ч байж болно — script өөрөө задална

Дүрэм 2 — хэрэглэгчээс юу ч асуухгүй

login команд ажиллуулмагц:

  • script өөрөө browser нээнэ
  • script өөрөө approve болтол хүлээнэ
  • команд дууссанд token бэлэн болсон

Хэрэглэгчид URL харуулахгүй, "дууссан уу?" асуухгүй, нэмэлт алхам шаардахгүй.

Дүрэм 3 — token refresh автоматаар

recent-customers, graphql болон бусад командуудыг дуудахад script өөрөө token шинэчилнэ. Дахин login шаардахгүй.

Зөвхөн командаас "Not logged in" алдаа гарвал дүрэм 1-ийн login командыг ажиллуулна.

Жишээ

# Нэвтрэх — subdomain ERXES_BASE_URL-аас автоматаар задарна, --subdomain өгөх шаардлагагүй
ERXES_BASE_URL=https://dsasfd.next.erxes.io/gateway python3 scripts/erxes_local.py login

# Харилцагч унших
ERXES_BASE_URL=https://dsasfd.next.erxes.io/gateway python3 scripts/erxes_local.py recent-customers --limit 5

# GraphQL
ERXES_BASE_URL=https://dsasfd.next.erxes.io/gateway python3 scripts/erxes_local.py graphql 'query { currentUser { email } }'

# Local
ERXES_BASE_URL=http://localhost:4000 python3 scripts/erxes_local.py login

Харилцагч

  • Бүх харилцагчийн жагсаалт харах
  • Нэр, имэйл, утсаар хайх
  • Харилцагчийн дэлгэрэнгүй мэдээлэл харах
  • Төрлөөр нь бүлэглэх (үйлчлүүлэгч / боломжит / зочин)
  • Шинэ харилцагч нэмэх
  • Харилцагчийн мэдээлэл засах
  • Харилцагч устгах
  • Давхардсан харилцагчийг нэгтгэх

Бүтээгдэхүүн

  • Бүтээгдэхүүний жагсаалт харах
  • Нэг бүтээгдэхүүний дэлгэрэнгүй харах
  • Шинэ бүтээгдэхүүн нэмэх
  • Бүтээгдэхүүн засах, устгах, нэгтгэх
  • Ангилал болон хэмжих нэгж удирдах

Шошго

  • Бүх шошго харах
  • Шошго нэмэх, засах, устгах
  • Харилцагч эсвэл бүтээгдэхүүнд шошго хавсаргах

Баримт бичиг

  • Баримт бичгийн жагсаалт харах
  • Баримт бичиг нэмэх, засах, устгах

Брэнд

  • Брэндийн жагсаалт харах
  • Брэнд нэмэх, засах, устгах

Автоматжуулалт

  • Бүх автоматжуулалтын жагсаалт харах
  • Автоматжуулалт нэмэх, засах, идэвхжүүлэх, устгах

Байгууллагын бүтэц

  • Хэлтэс, салбар, нэгж, албан тушаалын бүтэц харах
  • Хэлтэс, салбар, нэгж, тушаал нэмэх, засах, устгах

Багийн гишүүд

  • Гишүүдийн жагсаалт харах
  • Шинэ гишүүн урих
  • Гишүүний мэдээлэл засах
  • Гишүүнийг идэвхгүй болгох

References

  • scripts/erxes_local.py — Login, token refresh, GraphQL helper
  • erxes-app-token-auth.md — Нэвтрэлтийн урсгал
  • erxes-graphql-api.md — Үйлдлүүдийн техникийн лавлах

Comments

Loading comments...