核心用法
OneNote Notes 技能通过 ClawLink 托管的 OAuth 认证,调用 Microsoft Graph API 实现对 OneNote 全层级结构的程序化操作。用户可执行笔记本(Notebook)、分区(Section)、页面(Page)及分区组(Section Group)的增删改查,并以 HTML 格式读写页面内容。安装后需三步完成配置:安装插件、配对设备、连接 OneNote 账户。
显著优点
- 官方 API 支撑:基于 Microsoft Graph 的 OneNote API,数据一致性与长期兼容性有保障。
- 托管认证省心:ClawLink 集中管理 OAuth Token,用户无需自行注册 Azure AD 应用或处理令牌刷新。
- 粒度完整:覆盖从笔记本创建、分区复制到页面 HTML 补丁更新的全生命周期操作,支持 SharePoint、Microsoft 365 组及个人笔记本。
- 安全确认机制:写入类操作强制要求显式用户确认,降低误操作风险。
潜在缺点与局限性
- 依赖 ClawLink 生态:必须安装并信任 ClawLink 插件,若其服务中断或策略变更,技能将失效。
- 异步操作需轮询:复制笔记本/分区等操作返回 202 Accepted,需自行轮询 Operation-Location 状态。
- HTML 格式约束:页面内容须为完整 HTML(含
html/head/body),不支持 Markdown 或富文本直接传入,需额外转换。 - 命名限制严格:分区名 ≤50 字符,笔记本名 ≤128 字符,且禁用特定特殊字符。
- 只读字段限制:Section 仅
displayName可更新,其他属性为只读。
适合人群
- 使用 OneNote 作为知识库,需要自动化归档、批量生成笔记或跨笔记本迁移内容的个人用户。
- 企业团队依赖 SharePoint/Microsoft 365 组笔记本,需集成到自动化工作流的管理员。
- 开发者希望快速原型化 OneNote 自动化,但不愿投入 Azure AD 应用配置的场合。
常规风险
- OAuth 权限泄露:ClawLink 托管令牌虽便捷,但一旦 ClawLink 侧发生凭证泄露,攻击者可访问用户全部 OneNote 数据。建议定期审查已授权应用。
- 误删风险:
delete_*工具执行后不可逆,尽管有确认环节,但社会工程或提示注入仍可能诱导用户误确认。 - 数据同步延迟:异步复制操作若未正确轮询,可能导致下游流程基于不完整数据执行。
- HTML 注入:若用户输入直接拼接入
html参数,存在 XSS 风险,需确保输入经过转义或仅使用可信模板。 - 第三方依赖:ClawLink 作为闭源托管服务,其可用性、数据合规性及长期支持存在不确定性,关键业务应评估自托管 Graph API 调用方案。