npm Registry

📦 零配置 npm 生态安全洞察

通过 ClawLink 安全代理连接 npm 官方 API,实现包搜索、元数据查询、下载统计及安全漏洞检测,无需手动配置密钥。

收藏
5.9k
安装
2.1k
版本
1.0.1
CLS 安全扫描中
预计需要 3 分钟...

使用说明

npm Registry 技能综合评估

核心用法

npm Registry 技能通过 ClawLink 托管连接层,为 OpenClaw 用户提供对 npm 官方注册表的完整访问能力。用户可通过自然语言交互完成以下操作:

  • 包搜索:支持关键词、质量评分、流行度等多维度检索
  • 元数据查询:获取包的完整信息、版本历史、依赖关系
  • 下载统计:查看指定包的历史下载量(支持日/周/月粒度,数据延迟约 48 小时)
  • 安全检测:查询 CVE 安全公告,识别依赖漏洞

工具调用采用统一的 clawlink_call_tool 接口,参数为 JSON 格式,无需记忆复杂命令。

显著优点

1. 零配置接入:通过 ClawLink 的 OAuth 流程完成身份验证,聊天中无需暴露 API 密钥
2. 权限分离:读操作(搜索、查询)自动执行;写操作(令牌删除、作用域变更)强制要求用户显式确认

3. 实时工具发现clawlink_list_tools 动态返回当前可用的工具目录,避免假设性调用

4. 预览机制:敏感操作支持 clawlink_preview_tool 预演,降低误操作风险

5. 双因素验证:设备配对 + 网页端授权的双重确认机制

潜在局限

  • 数据延迟:下载统计数据存在最长 48 小时的滞后,不适合实时监控
  • 速率限制:npm Registry API 存在未公开的调用配额,高频请求可能触发 429 错误
  • 私有包限制:需完成 npm 账号连接方可访问私有包元数据
  • 依赖 ClawLink 可用性:若 ClawLink 服务中断,所有 npm 工具将不可用
  • 作用域包命名:需严格遵循 @org/package 的小写格式,无自动修正

适合人群

  • 前端/Node.js 开发者:快速评估依赖包质量、维护活跃度及安全风险
  • DevOps 工程师:审计 CI/CD 流水线中的依赖健康状况
  • 安全研究员:批量扫描项目依赖的安全公告
  • 技术决策者:基于下载趋势数据评估技术选型

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 供应链投毒 | 依赖恶意包 | 结合 `npm_get_advisories` 扫描已知漏洞 |
| 凭证泄露 | ClawLink 理论上可访问用户 npm 令牌 | 令牌存储于 ClawLink 服务端,非本地明文 |
| 误删数据 | 写操作未确认 | 强制预览 + 用户二次确认流程 |
| API 滥用 | 高频调用触发限流 | 内置指数退避重试建议 |

总结

该技能以托管代理模式平衡了便利性与安全性,适合需要频繁查询 npm 生态数据的场景。建议用户优先使用只读功能,对涉及账号变更的操作保持警惕。

npm Registry 内容

手动下载zip · 5.0 kB
skill-card.mdtext/markdown
请选择文件