plan2meal

🍳 智能食谱管理与购物清单助手

基于 Convex 后端的食谱与购物清单管理工具,支持多平台 OAuth 认证,实现食谱 URL 导入、智能搜索及清单协同,为家庭烹饪提供一站式数字化解决方案。

收藏
5.2k
安装
1.5k
版本
v1.2.5
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

Plan2Meal Skill 是一款专为 ClawdHub 平台设计的食谱与购物清单管理工具,用户可通过自然语言对话完成完整的餐饮规划工作流。核心功能涵盖三大模块:食谱管理(添加 URL 自动解析、列表浏览、关键词搜索、详情查看与删除)、购物清单管理(创建清单、关联食谱、查看与更新)以及身份认证(支持 GitHub、Google、Apple 三端 OAuth 登录)。所有操作均通过 Convex 后端 API 实现数据持久化,命令行风格交互设计(如 plan2meal add <url>>)确保操作精准高效。

显著优点

该 Skill 在架构设计上展现出专业水准:TypeScript 全栈类型安全、模块化代码结构(commands/convex/utils/types 分层清晰)、完善的 OAuth 2.0 安全实现(随机 state 参数防 CSRF、10 分钟 state 过期、7 天会话周期)。数据路由透明度尤为突出——强制披露共享后端地址、明确区分自托管与默认后端场景、禁止虚假本地处理声明。多身份源支持(GitHub 强制 + Google/Apple 可选)适配不同用户偏好,内存级会话存储避免敏感数据落盘风险。

潜在缺点与局限性

输入验证层存在改进空间:URL 验证未限制允许域名(存在 SSRF 理论风险)、recipe ID 缺乏格式白名单校验、Markdown 转义函数过度替换可能影响正常文本渲染。依赖管理方面,axios 1.6.2 版本携带已知 CVE 漏洞需紧急升级。功能边界上,该 Skill 严格限定于 Plan2Meal 生态,无法响应通用烹饪建议、营养分析或跨平台(如 Apple Reminders)任务管理需求,用户需明确触发特定指令方可调用。

适合的目标群体

核心用户为已使用或计划采用 Plan2Meal 服务的家庭烹饪爱好者、 meal prep 实践者及小型餐饮运营者。技术层面适合具备基础环境配置能力的用户(需配置 CONVEX_URL、OAuth 凭证等 5-9 项环境变量)。隐私敏感用户可通过自托管后端获得数据主权,而追求开箱即用的用户可选择共享后端(需显式开启 ALLOW_DEFAULT_BACKEND)。

使用风险

依赖风险:axios 漏洞可能导致请求劫持,建议生产部署前强制升级至 1.7.4+。数据主权风险:共享后端模式下食谱数据流经第三方 Convex 实例,虽经披露但仍需用户知情同意。配置复杂度:9 项环境变量(3 项必填 OAuth + 1 项主后端 + 1 项回调地址)对非技术用户构成门槛。网络依赖:所有功能强依赖 Convex 后端可用性,离线场景完全不可用。会话安全:内存存储虽防落盘,但服务重启将导致全量会话失效需重新登录。

安全解读

核心功能概述

Plan2Meal 是一款面向食谱管理与购物清单生成的对话式工具,用户可通过自然语言指令完成食谱添加(URL 导入)、列表查询、关键词搜索、详情展示及删除操作,同时支持购物清单的创建与管理。该 Skill 深度集成 Plan2Meal 平台,所有数据操作均路由至 Convex 后端服务。

显著优势

功能闭环完整:覆盖从食谱采集(URL 导入)、组织(搜索/分类)到执行(购物清单生成)的全流程,满足家庭备餐的核心需求。

认证体系完善:支持 GitHub(必选)、Google、Apple 三种 OAuth 登录方式,实现 PKCE 标准 state 参数防护,access token 采用内存会话存储并配备 7 天 TTL 自动清理机制,安全性优于本地持久化方案。

数据路由透明:SKILL.md 明确披露共享后端地址(gallant-bass-875.convex.cloud),并提供 ALLOW_DEFAULT_BACKEND 环境变量供用户自主控制,符合隐私合规要求。

代码质量良好:TypeScript 实现,无 eval/exec 等危险函数,输入验证完善,通过静态分析与威胁情报检测。

潜在局限与风险

依赖安全漏洞:axios v1.6.2 存在请求走私漏洞(CVE-2025-XXXX),需手动升级至 v1.8.0+,当前版本未自动修复。

共享后端依赖:默认依赖 Convex 共享后端,数据存储于第三方服务;虽支持自托管,但配置复杂度较高,普通用户可能直接使用默认方案。

会话持久性限制:内存存储模式导致进程重启后会话丢失,虽提升安全性但牺牲连续性体验。

URL 验证宽松isValidUrl 函数未限制协议类型(允许 file://、data: 等),存在潜在 SSRF 攻击面,尽管实际影响受限。

适用人群

  • 家庭烹饪爱好者,需系统管理网络食谱收藏
  • 注重购物清单与食谱联动的备餐规划者
  • 愿意配置 OAuth 凭证的技术用户

常规风险提示

  • 数据主权:食谱数据存储于 Convex 云服务,敏感家庭饮食记录可能受第三方隐私政策约束
  • 配置门槛:需自行申请 GitHub/Google/Apple OAuth 凭证并完成环境变量配置
  • 维护状态:社区项目,无明确维护者信息,长期更新支持存在不确定性
  • 依赖管理:需主动关注 axios 等核心依赖的安全更新

plan2meal 内容

references文件夹
src文件夹
手动下载zip · 14.2 kB
output-templates.mdtext/markdown
请选择文件