skills/fty4/Memos

Memos

📝 你的 Memos 笔记,一键触达

基于 Memos API 的轻量级备忘录管理工具,支持创建、读取、删除和列表操作,适合个人笔记工作流集成。

收藏
16.9k
安装
3.6k
版本
0.1.1
CLS 安全性认证2026-05-10
点击查看完整报告 >

使用说明

核心用法

Memos Skill 为 OpenClaw 提供了与 Memos 开源笔记平台的无缝集成能力。用户可通过简单的命令行接口完成备忘录的全生命周期管理,包括创建(支持 PUBLIC/PRIVATE/PROTECTED 三种可见性)、按 ID 检索、删除(支持强制删除关联数据)以及分页列表查询。所有操作均通过 RESTful API 与 Memos 实例通信,返回标准 JSON 格式便于后续处理。

显著优点

1. 零配置复杂度:仅需两个环境变量(MEMOS_URLMEMOS_TOKEN)即可运行,无需复杂的 OAuth 流程
2. 自动标签注入:创建时自动附加 #openclaw 标签,便于在 Memos 中追溯来源
3. 灵活的 ID 格式:支持 memos/123 或纯数字 123 两种 ID 格式,提升用户体验
4. 完善的错误反馈:API 错误、网络超时、参数校验失败均返回结构化 JSON 错误信息,包含 HTTP 状态码便于调试
5. 双模式执行:既可通过 openclaw skill-run 调用,也可直接以 Python 脚本形式独立运行

潜在缺点与局限性

  • 功能范围有限:当前仅覆盖核心 CRUD 操作,不支持 Markdown 图片上传、标签管理、评论等高级功能
  • 分页硬限制:单次最大查询 1000 条,大数据量场景需客户端自行实现分页逻辑
  • 无本地缓存:每次操作均实时调用 API,网络波动时体验受限
  • 可见性认知门槛:PUBLIC/PROTECTED/PRIVATE 的区分需用户理解 Memos 的权限模型
  • Token 安全依赖:完全依赖用户自行保管 MEMOS_TOKEN,无自动轮换机制

适合人群

  • 已部署 Memos 实例的个人用户,寻求 CLI 或自动化工具集成
  • 需要将笔记操作嵌入工作流(如配合其他 OpenClaw skill 串联执行)的开发者
  • 偏好命令行交互、追求极简配置的技术型用户

常规风险

| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| Token 泄露 | `MEMOS_TOKEN` 若被窃取可导致账户数据暴露 | 使用环境变量或密钥管理服务存储,避免硬编码 |
| 误删数据 | `delete` 命令的 `force` 参数可绕过保护机制 | 生产环境操作前建议先 `get` 确认内容 |
| 网络暴露 | 若 `MEMOS_URL` 使用 HTTP 而非 HTTPS,存在中间人攻击风险 | 务必配置 TLS 加密连接 |
| 可见性误配 | PUBLIC 内容可被实例内所有用户查看 | 敏感信息务必使用 PRIVATE 选项 |

扩展性提示

Skill 采用模块化 Python 实现,新增 API 端点支持仅需遵循现有函数模式,具备良好的可维护性。

安全解读

核心用法

Memos Skill 是一个面向 Memos 开源笔记系统的轻量级 API 客户端,基于 Python requests 库实现。用户通过配置 MEMOS_URLMEMOS_TOKEN 环境变量即可连接个人或自托管的 Memos 实例,支持创建、读取、删除和分页列出备忘录四项核心操作。

命令速览:

  • create <content> [visibility] — 创建备忘,默认公开,自动附加 #openclaw 标签
  • get <id> — 按 ID 检索单条备忘,支持 memos/123 或纯数字格式
  • delete <id> [force] — 删除备忘,可选强制删除关联数据
  • list [pageSize] — 分页查询,默认 20 条,最大 1000 条

使用模式: 既可通过 openclaw skill-run 调用,也可直接执行 Python 脚本,所有输出均为 JSON 格式便于解析。检索到的备忘 UID 可格式化为 Markdown 链接直接引用。

显著优点

1. 安全设计领先:敏感信息(Token、URL)完全通过环境变量注入,无硬编码风险;代码经 CLS-Certify v2.1.0 扫描获得 S 级(90分) 认证,无 eval/exec/system/subprocess 等危险函数。
2. 输入验证完备:visibility 枚举校验(PRIVATE/PROTECTED/PUBLIC)、pageSize 范围限制(1-1000)、ID 格式容错处理,防止无效参数直达 API。
3. 网络通信安全:全链路 HTTPS 加密(TLS 1.2+),仅与用户配置的 Memos 实例通信,无第三方数据传输;30 秒超时与连接失败处理机制完善。
4. 隐私合规通过:GDPR、CCPA、数据最小化、用户同意机制、数据可删除性、传输加密六项合规检查全部通过。
5. 轻量易扩展:320 行代码、3 个文件,结构清晰;新增 Memos API 端点可按现有模式快速扩展。

潜在缺点与局限性

1. 依赖管理待完善:当前未提供 requirements.txtpyproject.toml 锁定 requests 库版本,存在潜在 CVE 风险(RISK-001,低风险)。
2. URL 配置无校验MEMOS_URL 未进行格式验证,用户可能因配置错误连接至非预期服务器(RISK-002,信息级)。
3. 响应类型未校验:API 响应未验证 Content-Type,理论上可能接收非 JSON 数据。
4. Token 脱敏不足:错误输出中可能存在 Authorization Token 泄露风险,建议日志脱敏。
5. 功能边界单一:仅覆盖 Memos v1 API 的基础 CRUD,不支持高级特性如评论、附件、标签管理等。

适合人群

  • 自托管 Memos 用户:希望将笔记操作集成到 OpenClaw 工作流的个人开发者或极客用户。
  • 隐私敏感型用户:数据完全存储于个人服务器,规避云服务厂商锁定。
  • 自动化爱好者:可通过脚本批量导入、导出或清理备忘录内容。

常规风险

| 风险类别 | 说明 | 缓释建议 |
|---------|------|---------|
| 配置泄露 | `MEMOS_TOKEN` 泄露可导致笔记数据被完全访问 | 使用专用环境变量管理工具(如 1Password CLI),禁止硬编码或提交至版本控制 |
| 依赖漏洞 | requests 库未来可能出现未公开 CVE | 定期运行 `pip-audit`,关注官方安全通告 |
| 服务器欺骗 | 恶意 Memos 实例可能通过 DNS 劫持窃取 Token | 仅使用 HTTPS 并校验证书,优先考虑本地网络或已知可信域名 |
| 误操作删除 | `force=true` 将不可逆删除关联数据 | 生产环境建议先 `get` 确认内容,必要时开启 Memos 服务端回收站功能 |
note-takingmemosapi-integrationself-hostedproductivitycli-tool

Memos 内容

手动下载zip · 5.0 kB
memos.pytext/plain
请选择文件