dropbox-integration

📦 安全只读云端文件管家

OpenClaw官方Dropbox只读集成技能,基于OAuth 2.0安全认证,支持文件浏览、搜索与下载,零写入风险保障云端数据安全。

收藏
1.3k
安装
394
版本
v1.0.1
CLS 安全性认证2026-07-01
点击查看完整报告 >

使用说明

核心用法

该Skill为OpenClaw平台提供与Dropbox账户的只读集成能力,用户可通过命令行脚本完成文件夹浏览、文件搜索和本地下载三大核心操作。使用时需先在Dropbox开发者控制台创建应用并获取App Key与App Secret,随后运行setup-oauth.js完成OAuth 2.0授权流程,系统将自动保存访问令牌与刷新令牌至本地。日常使用中,,browse.js支持层级目录导航,,search-files.js提供全库文件名检索,,download.js可将云端文件拉取至指定本地路径。所有操作均通过封装好的dropbox-helper.js模块执行,该模块内置自动令牌刷新机制,在令牌过期前5分钟自动续期,确保长期使用的无缝体验。

显著优点

权限最小化设计是该Skill最突出的安全特性,明确限定files.content.readfiles.metadata.readaccount_info.read三项只读权限,从根本上杜绝了误删、误改云端文件的可能性。技术实现上采用官方Dropbox SDK(v10.34.0),避免非官方库带来的潜在风险;凭证管理遵循安全最佳实践,,credentials.jsontoken.json均被纳入.gitignore`且设置0600文件权限,防止敏感信息泄露。自动化方面,令牌生命周期管理完全透明,用户无需手动处理过期问题。此外,Skill结构清晰、文档详尽,从快速开始指南到故障排查均有覆盖,10分钟左右的配置门槛对普通用户友好。

潜在缺点与局限性

功能层面,严格的只读限制虽保障了安全,但也意味着无法完成上传、同步、重命名等常见云盘操作,适用场景受限。技术约束方面,Dropbox API对单次下载文件大小存在约150MB的实际限制,大文件需分片处理;API调用存在速率限制,高频批量操作可能触发限流。OAuth流程中本地HTTP服务器使用明文传输(localhost:3000),虽因仅接收授权码且限于本机访问而风险可控,但仍非理想方案。此外,Skill依赖Node.js运行时环境,且需用户自行管理Dropbox应用的生命周期(如密钥轮换、权限审计),对非技术用户存在一定维护负担。

适合的目标群体

该Skill最适合需要安全查阅云端资料但无需修改的OpenClaw用户,典型场景包括:研究人员批量获取Dropbox中的论文与数据集、内容创作者整理历史素材、团队协作中仅需只读访问的下游成员。对数据安全高度敏感的用户(如法律、医疗行业从业者)也会受益于其零写入权限设计。技术门槛上,具备基础命令行操作能力和Dropbox账户管理经验的用户可快速上手;完全无技术背景的用户可能需要参考详细的Setup Guide逐步配置。

使用风险

依赖项风险:Skill依赖特定版本的dropbox npm包,若未来官方SDK出现安全漏洞或破坏性更新,可能影响功能稳定性。凭证管理风险:尽管文件权限已限制,但本地存储的token.json若被恶意程序读取,攻击者可获得Dropbox只读访问权限,建议配合全盘加密使用。路径遍历隐患:下载功能未对目标路径做严格校验,用户需自行确保./local/path参数不会意外覆盖系统关键文件。令牌失效场景:若用户在Dropbox控制台手动撤销应用授权或删除应用,本地刷新令牌将失效,需重新执行OAuth流程。共享文件夹权限:Skill访问范围受限于Dropbox账户本身的共享权限配置,无法突破原始账户的访问边界。

安全解读

核心用法

该 Skill 提供只读 Dropbox 集成,通过 OAuth 2.0 认证实现文件夹浏览、文件搜索和下载功能。用户需先在 Dropbox 开发者控制台创建应用并配置权限,随后运行 setup-oauth.js 完成授权流程。授权后,可通过 browse.jssearch-files.jsdownload.js 执行具体操作,所有脚本均支持从 OpenClaw 通过 exec 工具调用。

显著优点

1. 零风险只读设计:明确排除 files.content.writefiles.metadata.writefiles.permanent_delete 权限,从协议层面杜绝误删、误改风险。
2. 自动化 Token 管理:内置刷新令牌机制,5 分钟缓冲期的自动续期策略确保长期稳定访问,无需手动重认证。

3. 企业级安全基线:Token 本地存储采用 0600 文件权限(仅用户可读写),配合 HTTPS 传输和官方 SDK,通过 GDPR、CCPA 合规检查。

4. 低使用门槛:约 10 分钟完成配置,提供详细的 setup-guide.md 和交互式 OAuth 脚本,降低非技术用户的上手难度。

潜在缺点与局限性

  • 功能天花板:仅支持下载(≤150MB/文件),无法上传、同步或批量操作大文件夹。
  • 平台差异:Windows 系统上 Node.js fs.chmod 对 0600 权限的支持可能不完整,存在权限回退风险。
  • 单用户架构:设计面向个人使用,多用户场景需自行实现 OAuth 状态管理和并发控制。
  • 网络依赖:企业代理环境需手动配置 HTTP_PROXY/HTTPS_PROXY

适合人群

  • 个人云盘用户:需要安全读取 Dropbox 文件但担心误操作导致数据丢失的用户。
  • 自动化工作流构建者:希望将 Dropbox 内容接入 OpenClaw 自动化流程的开发者。
  • 安全意识优先的组织:对第三方工具权限敏感、要求最小权限原则的企业环境。

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| Token 文件泄露 | 低 | 若设备被入侵,0600 权限的 `token.json` 仍可能被读取;建议配合系统全盘加密 |
| Refresh Token 长期有效 | 低 | 遵循 OAuth 建议每 3-6 个月重新授权 |
| 依赖过时 | 低 | 需定期运行 `npm audit` 检查 `dropbox` 包安全更新 |

整体评估为低风险、高可控的云端文件访问方案,特别适合对数据安全性要求高于功能丰富度的场景。

dropbox-integration 内容

references文件夹
手动下载zip · 15.5 kB
setup-guide.mdtext/markdown
请选择文件