supabase

该 Skill 提供了一套命令行工具，通过 Python 脚本直接与 Supabase Auth Admin API 交互。用户可通过 users、users-today、users-week 等命令快速统计总用户数、今日新增和本周注册量；使用 list-users 可获取详细的用户列表，包括邮箱、姓名、登录提供商和注册时间。支持 --json 参数输出结构化数据，便于二次处理。配置方式灵活，支持交互式设置、手动配置文件（~/.supabase_config.json）或环境变量（SUPABASE_URL、SUPABASE_SERVICE_KEY）。此外，可与 Clawdbot 的定时任务结合，设置每日/每周自动发送用户增长报告，例如每天下午 5 点推送当日新增用户和前 5 个最新注册详情。

显著优点方面，首先数据实时准确，直接调用官方 Admin API 而非缓存数据，确保统计结果反映最新状态。其次，操作安全，采用只读设计，明确禁止数据修改、删除或写入操作，从根本上避免误操作风险。第三，配置灵活且安全，支持多种认证方式，配置文件自动设置 600 权限保护，且明确禁用模型自主调用（disable-model-invocation: true），防止意外触发。第四，支持自动化运维，可轻松设置定时任务生成日报/周报，大幅提升运营效率。最后，兼容性好，支持传统的 JWT 格式 service_role 密钥，能够访问完整的 Auth Admin 功能，不受新格式密钥的功能限制。

潜在缺点也不容忽视。最主要的安全考量是必须使用 service_role JWT 密钥，该密钥拥有数据库的完全访问权限（读/写/删），尽管 Skill 仅使用只读接口，但密钥本身权限过高，一旦泄露风险极大。其次，功能相对单一，主要聚焦于用户认证数据的查询，不支持通用 SQL 查询或自定义数据表分析（除非启用 pg_graphql）。第三，环境依赖要求安装 Python3 和 requests 库，对非技术用户有一定门槛。此外，新创建的 Supabase 项目默认禁用 pg_graphql 扩展，如需 GraphQL 查询需手动开启。最后，不支持新格式的 sb_secret_... 密钥，必须使用 Legacy JWT 格式，对新手可能造成困惑。

适合的目标群体包括需要监控用户增长的产品经理、运营人员和创业者，可快速掌握每日注册趋势和用户构成。对于使用 Supabase 作为后端数据库的独立开发者和小型团队，这是轻量化的用户分析解决方案，无需搭建复杂的数据看板。也适合需要定期汇报用户数据的技术负责人，通过自动化报告节省手动统计时间。由于需要配置高权限密钥，更适合具备一定技术背景、理解密钥安全重要性的用户。

使用风险方面，首要风险是凭证管理，service_role 密钥权限极高，若配置文件被误提交到 Git 仓库或在不安全环境中泄露，可能导致数据库被完全控制，务必确保配置文件权限为 600 且仅在可信机器上使用。其次，存在网络依赖风险，所有查询直接连接 Supabase 官方服务器，若网络不稳定或 Supabase 服务异常会影响可用性。第三，虽然 Skill 本身为只读，但依赖的 Python 脚本若被篡改可能引入风险，建议定期从官方仓库更新。最后，自动化报告功能通过 cron 实现，需确保运行环境持续在线，且定时任务配置错误可能导致频繁请求 API，建议合理设置报告频率避免不必要的资源消耗。