skills/lucassynnott/Supabase

Supabase

🗄️ Supabase 数据库与向量搜索一站式 CLI

database榜 #2

Supabase CLI 封装工具,支持数据库 CRUD、SQL 查询、pgvector 向量搜索与表结构管理,需配置 Service Key 使用。

收藏
18.7k
安装
7.6k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Supabase CLI 是一个命令行封装工具,用于与 Supabase 后端服务进行交互。主要功能覆盖四大领域:

1. 数据库操作:支持原始 SQL 查询(query)、表数据查询(select)、插入(insert)、更新(update)、删除(delete)及 upsert 操作。提供丰富的过滤选项(eq/neq/gt/lt/like)、排序、分页等功能。

2. 向量搜索:基于 pgvector 扩展实现相似性搜索,需预先创建 embedding 列和匹配函数。支持自定义相似度阈值、返回数量,默认集成 OpenAI embedding 模型。

3. 表结构管理:可列出所有表(tables)和查看表结构(describe),便于快速了解数据库 schema。

4. 存储过程调用:通过 rpc 命令调用数据库函数,支持传入 JSON 参数。

显著优点

  • 功能完整:覆盖 Supabase 核心 API 的主要使用场景,从简单查询到复杂的向量检索
  • CLI 友好:命令参数设计直观,过滤条件采用 --eq "col:val" 等易读格式
  • 向量检索原生支持:内置 pgvector 集成,降低 AI 应用开发门槛
  • 批量操作支持:insert 和 upsert 支持单条或多条 JSON 数组

潜在缺点与局限性

  • 权限风险:默认使用 Service Role Key 绕过 RLS(Row Level Security),存在数据越权访问风险
  • 无内置迁移工具:不包含数据库 schema 迁移/版本管理功能
  • embedding 依赖外部服务:向量搜索需外部 OpenAI API Key,增加配置复杂度
  • 错误处理不透明:文档未说明错误输出格式和退出码策略
  • 无连接池管理:高并发场景下可能遇到连接限制

适合人群

  • 需要快速操作 Supabase 数据库的开发者
  • 构建 RAG(检索增强生成)应用的 AI 开发者
  • 进行数据探索、原型验证的技术人员
  • 熟悉 SQL 和命令行操作的后端工程师

常规风险

| 风险类型 | 说明 |
|---------|------|
| 密钥泄露 | Service Key 具有完全数据库权限,泄露可导致数据被清空或篡改 |
| RLS 绕过 | 默认配置无视行级安全策略,可能意外暴露敏感数据 |
| SQL 注入 | 直接执行原始 SQL 时若拼接用户输入存在注入风险 |
| 误操作数据 | update/delete 无事务确认机制,可能误删大量数据 |
| API 配额 | OpenAI embedding 调用可能产生意外费用 |

安全解读

Supabase CLI 技能综合评估

核心用法

该技能为开发者提供了一个在终端中直接与 Supabase 项目进行交互的命令行界面。它支持执行原始 SQL 查询,以及对数据表进行完整的增删改查(CRUD)操作,包括插入、条件查询、更新、批量删除等。最为突出的是,它集成了对 pgvector 扩展的支持,允许用户执行基于语义的相似性向量搜索。此外,技能还具备表结构管理功能,如列出所有表、查看表 schema 以及调用远程存储过程。

显著优点

  • 功能全面:覆盖了从基本数据操作到时下热门的向量搜索用例,一站式满足后端开发的常见需求。
  • 安全可靠:经过安全认证,代码质量优秀(评分 S 级 85 分)。未发现任何后门或恶意代码,所有网络通信均采用 HTTPS 加密,且依赖项极少,仅使用系统标准工具,无第三方库依赖风险。
  • 操作友好:提供了丰富且直观的命令行选项,如通过 --eq, --like 进行过滤,使用 --order--desc 排序,并且为 update/delete 等危险操作强制要求过滤条件,有效防止误操作。
  • 架构灵活:既可以通过 Anon Key 实现受限的客户端访问,也可通过 Service Key 进行完全权限的管理操作,适配不同场景。

潜在缺点或局限性

  • 高权限凭证依赖:技能强制要求 SUPABASE_SERVICE_KEY,这是一个能够绕过行级安全策略,拥有完全数据库访问权限的 service role 密钥,若无妥善保管将带来极大的安全风险。
  • 数据隐私考量:在使用向量搜索功能时,用户的查询文本会被发送至 OpenAI 的 Embeddings API 以生成嵌入向量。虽然 OpenAI 声明不使用客户数据进行模型训练,但传输敏感查询文本仍可能不符合部分严格的数据治理策略。
  • 生态依赖:该技能强依赖 Supabase 平台,无法用于连接其他 PostgreSQL 数据库,其向量搜索功能也默认绑定 OpenAI 的嵌入模型。
  • 来源可信度:该技能由个人开发者在社区发布,属于 T3 信任级别。它缺少开源许可证、明确的代码仓库以及社区的广泛审查,供应链透明度相对较低。

适合的目标群体

  • 全栈开发者与后端工程师:正在使用或计划使用 Supabase 作为后端服务,希望通过命令行快速进行数据查询、调试和管理的开发者。
  • 数据库管理员:需要通过脚本或终端高效执行大量数据库维护和查询任务的人员。
  • AI 应用开发者:正在探索或构建基于向量相似性搜索功能(如知识库问答、语义搜索)应用的开发者。
  • 偏好终端的效率型用户:不喜欢在多个图形化界面(如 Supabase Dashboard)之间切换,希望将一切操作集成在终端工作流的用户。

使用该技能可能存在的常规风险

  • 安全配置错误风险:用户若不慎将具有完全权限的 SUPABASE_SERVICE_KEY 配置在不安全的环境中,或提交到版本控制系统,可能导致数据库被非法访问、篡改或删除。
  • 合规性风险:在未进行评估的情况下,将包含个人身份信息或商业机密的查询文本发送到 OpenAI 服务,可能违反 GDPR、HIPAA 等数据隐私法规或公司内部安全政策。
  • 操作风险:尽管有基本的防护,但在数据库操作中,一条错误的 DELETEUPDATE 命令仍可能造成大规模的数据丢失或损坏,尤其是在 Service Key 绕过权限控制后。
  • 供应链威胁:作为 T3 社区来源,该技能未来的更新可能引入未预期的行为。若维护者账号失守,技能代码存在被恶意篡改的理论风险。
supabasepostgresqldatabasevector-searchpgvectorsqlcrudembeddingstoragebackend

Supabase 内容

scripts文件夹
手动下载zip · 5.6 kB
supabase.shtext/x-shellscript
请选择文件