核心用法
box-automation 是一个纯文档型 Skill(T-MD),旨在通过 Rube MCP(Composio)自动化 Box 企业云存储平台的各项操作。该 Skill 不提供直接可执行代码,而是作为完整的工作指南,指导 AI 助手调用底层的 Box API 工具集。
主要功能模块
1. 文件传输管理:支持文件上传(BOX_UPLOAD_FILE)、下载(BOX_DOWNLOAD_FILE)及批量打包下载(BOX_CREATE_ZIP_DOWNLOAD)。需注意大文件(>50MB)需使用分块上传 API,标准工具暂不支持。
2. 智能搜索与浏览:提供全文搜索(BOX_SEARCH_FOR_CONTENT)、文件夹浏览(BOX_LIST_ITEMS_IN_FOLDER)、元数据查询(BOX_QUERY_FILES_FOLDERS_BY_METADATA)等功能。搜索支持布尔运算符(AND/OR/OT,必须大写)和多种过滤条件。
3. 文件夹生命周期管理:涵盖创建、重命名、移动、复制、删除(含彻底删除)完整流程。特别指出根文件夹 ID 固定为 "0",且不可删除或复制。
4. 协作与权限控制:管理文件共享链接、协作者邀请及权限级别(editor/viewer/co-owner 等),支持文件锁定和下载权限控制。
5. 电子签名集成:对接 Box Sign 服务,管理签名请求的全生命周期(列表查询、详情获取、取消请求)。
技术实现细节
- ID 解析:Box 使用数字字符串作为唯一标识,可从 Web 应用 URL 直接提取(如
/files/123 → "123") - 分页机制:支持 offset 分页(最大偏移 10000)和 marker 分页(推荐用于大数据集)
- 嵌套参数:采用双下划线表示法(如
parent__id、lock__access)
显著优点
- 权威来源:由 Composio 官方维护(openclaw GitHub 组织,T2 可信级别),工具调用经过 Rube MCP 中转,不直接暴露 API 密钥
- 企业级功能覆盖:完整支持 Box 的企业特性,包括元数据模板查询、精细权限控制、电子签名等
- 详尽的错误规避指南:文档中大量 "Pitfalls" 章节提前预警常见问题(如参数顺序、大小写敏感、权限边界等)
- 零代码风险:纯 Markdown 文档,无可执行代码,无依赖引入,静态安全评分 92 分
- OAuth 安全模型:通过 Rube MCP 的
RUBE_MANAGE_CONNECTIONS 完成授权,避免硬编码凭证
潜在局限
- 外部服务依赖:完全依赖 Rube MCP 服务的可用性,若 Composio 服务中断则功能失效
- 大文件限制:标准上传工具不支持 >50MB 文件的分块上传,企业场景可能需要额外处理
- 搜索偏移上限:offset 超过 10000 会触发 HTTP 400 错误,大数据集必须使用 marker 分页
- 功能延迟:作为 MCP 工具封装,可能比直接调用 Box API 有轻微延迟
- 无离线能力:所有操作需实时连接 Box 云服务
适合人群
- 企业 IT 管理员:需要自动化企业文件库管理、批量权限调整
- 法务/合规团队:利用 Box Sign 集成管理合同签署流程
- 开发运维工程师:构建基于 Box 的文档工作流自动化
- 项目经理:需要跨团队协作时的文件夹权限自动化配置
常规风险
| 风险类别 | 说明 | 缓解措施 |
|---------|------|---------|
| 授权范围风险 | OAuth 可能申请过度权限 | 遵循最小权限原则,定期审查 Rube 连接权限 |
| 误操作数据丢失 | `recursive: true` 可批量删除 | 操作前执行 `BOX_GET_FOLDER_INFORMATION` 确认内容 |
| 并发冲突 | 多用户同时修改文件 | 使用 `if_match` + ETag 实现乐观锁控制 |
| 速率限制 | Box API 有端点级限流 | 批量操作添加延迟,实现指数退避重试 |
| 元数据查询复杂度 | 模板格式易出错 | 严格遵循 `enterprise_{id}.templateKey` 格式 |该 Skill 安全等级为 A(88 分),无代码执行风险,适合企业环境放心使用。建议定期关注 Box API 变更,保持文档同步更新。