Habilidades appflowy-api
📦

appflowy-api

Riesgo medio ⚡ Contiene scripts🌐 Acceso a red📁 Acceso al sistema de archivos🔑 Variables de entorno⚙️ Comandos externos

Automatiza flujos de trabajo de la API de AppFlowy

La automatización de AppFlowy autoalojado suele requerir autenticación repetible, búsqueda de espacios de trabajo y actualizaciones de bases de datos. Esta skill proporciona scripts guiados y referencias para esos flujos de trabajo de API.

Soporta: Claude Codex Code(CC)
⚠️ 50 Deficiente
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un AI Agent, crawler o script necesite contexto limpio en lugar de leer toda la página.

Detalle Markdown GET /skills/balonegit-appflowy-api.md Manifest firmado GET /api/skills/balonegit-appflowy-api/manifest Lockfile firmado GET /api/skills/balonegit-appflowy-api/lockfile

Pruébalo

Usando "appflowy-api". Ejecuta una comprobación doctor contra mi implementación autoalojada de AppFlowy.

Resultado esperado:

Un informe de salud conciso con el estado de GoTrue, el estado de salud de AppFlowy, el estado de acceso al espacio de trabajo y advertencias de compatibilidad de versiones.

Usando "appflowy-api". Aplica la plantilla de Grid de plan de fitness a una vista de documento.

Resultado esperado:

Un resumen de la base de datos Grid creada o reutilizada, las filas predeterminadas eliminadas, los campos añadidos, las filas insertadas y las celdas de relación actualizadas.

Usando "appflowy-api". Busca una frase en un espacio de trabajo.

Resultado esperado:

Una lista legible de resultados coincidentes de AppFlowy con IDs y contexto adecuados para llamadas de API posteriores.

Auditoría de seguridad

Riesgo medio
v2 • 6/28/2026

Static analysis found many command, network, environment, filesystem, and heuristic hits. Review found no prompt injection or confirmed malicious intent, but the skill legitimately handles credentials, makes authenticated AppFlowy requests, and can mutate or delete workspace content. Publish with clear warnings for trusted self-hosted environments and careful credential handling.

40
Archivos escaneados
3,944
Líneas analizadas
11
hallazgos
2
Auditorías totales
Problemas de riesgo medio (3)
scripts/appflowy_client.py:122-149scripts/appflowy_client.py:165-174scripts/appflowy_client.py:176-235references/config.example.json:2-3
Authenticated AppFlowy Network Operations
TRUE_POSITIVE. The skill sends credentials to a configured GoTrue endpoint and sends bearer-token requests to AppFlowy workspace, document, database, and row endpoints. This is expected for the skill, but a wrong base URL or exposed token could affect private workspace data.
scripts/apply_grid_template.py:86-106scripts/apply_grid_template.py:157-190scripts/update_user_management_doc.py:577-581scripts/collab_delete_blocks.mjs:90-134
Workspace Content Mutation and Deletion
TRUE_POSITIVE. The skill can create page views, append blocks, upsert rows, repair collab state, and delete document blocks or row orders. These operations are legitimate but can cause data loss if run against the wrong workspace or with an unsafe template.
scripts/appflowy_client.py:30-44scripts/_common.py:25-63scripts/_common.py:78-86scripts/get_token.py:7-19
Credential and Local Payload Handling
TRUE_POSITIVE. The scripts can read optional .env files, config files, and JSON payload files, then use credentials or tokens for API calls. This is normal for API tooling, but users must avoid untrusted files and protect token output.
Problemas de riesgo bajo (3)
scripts/appflowy_skill.py:29-35scripts/doc_grid_lib.py:311-317scripts/doc_grid_lib.py:348-354scripts/doc_grid_lib.py:383-389
Constrained Subprocess Use
FALSE_POSITIVE for command injection. subprocess.run invokes Python or Node with local script paths selected from fixed command maps, and user arguments are passed as argument arrays. This still requires Node and local dependency trust.
SKILL.md:18-31references/config.example.json:2-3
Hardcoded Private Example Endpoint
TRUE_POSITIVE but low severity. The documentation and sample config include a private IP address for AppFlowy and GoTrue examples. It is not a public exfiltration endpoint, but users should replace it before running commands.
agents/openai.yaml:1-4SKILL.md:1-3skill.json:1-7references/appflowy_api_reference.md:79-86
Static Heuristic False Positives
FALSE_POSITIVE. Weak-crypto, obfuscation, and reconnaissance hits appear to come from descriptions, metadata, endpoint references, non-English text, and normal API troubleshooting text. No prompt injection attempt or encoded payload was found in the reviewed files.

Factores de riesgo

⚡ Contiene scripts (4)
scripts/appflowy_skill.py:29-35 scripts/doc_grid_lib.py:297-383 scripts/apply_grid_template.py:35-55 scripts/update_user_management_doc.py:550-581
🌐 Acceso a red (4)
scripts/appflowy_client.py:122-149 scripts/appflowy_client.py:165-174 scripts/appflowy_client.py:176-235 references/config.example.json:2-3
📁 Acceso al sistema de archivos (4)
scripts/_common.py:9-15 scripts/_common.py:78-86 scripts/collab_delete_blocks.mjs:4-9 scripts/create_user_management_doc.py:9-17
🔑 Variables de entorno (4)
SKILL.md:42-48 scripts/appflowy_client.py:30-44 scripts/_common.py:25-63 scripts/doctor.py:119-124
⚙️ Comandos externos (4)
scripts/appflowy_skill.py:29-35 scripts/doc_grid_lib.py:311-317 scripts/doc_grid_lib.py:348-354 scripts/doc_grid_lib.py:383-389

Patrones detectados

Network Requests With Bearer TokensOpt-In Environment File ReadingLocal Script Execution for Collab UpdatesDestructive Collab State Editing
Auditado por: codex Ver historial de auditorías →

Puntuación de calidad

86
Arquitectura
100
Mantenibilidad
87
Contenido
70
Comunidad
44
Seguridad
83
Cumplimiento de la especificación

Lo que puedes crear

Validar una implementación autoalojada

Ejecuta comprobaciones de salud, autenticación, espacio de trabajo y versión antes de usar automatización en un espacio de trabajo activo de AppFlowy.

Crear scripts repetibles de configuración de espacios de trabajo

Crea documentos, añade secciones de Grid, define campos y rellena filas a partir de plantillas reutilizables.

Depurar el comportamiento de la API de AppFlowy

Inspecciona requisitos de endpoints, encabezados, flujo de tokens, respuestas de búsqueda y detalles de filas de base de datos durante el trabajo de integración.

Prueba estos prompts

Comprobar la salud de la implementación 
Usa la skill de AppFlowy API para ejecutar una comprobación doctor para mis URLs configuradas de AppFlowy y GoTrue. Explica cualquier comprobación fallida.
Listar espacios de trabajo disponibles 
Usa mi token de AppFlowy o inicio de sesión con correo electrónico para listar espacios de trabajo. Muestra los IDs de espacio de trabajo que necesito para comandos posteriores.
Aplicar una plantilla de Grid 
Aplica la plantilla de Grid proporcionada a este espacio de trabajo y vista. Dime qué campos, filas y actualizaciones de relaciones se crearán.
Reparar datos de collab de forma segura 
Revisa este documento de AppFlowy y prepara un plan seguro de limpieza de collab. Usa clean-only primero e identifica cualquier operación destructiva.

Mejores prácticas

  • Usa un espacio de trabajo de prueba antes de ejecutar comandos de creación, actualización, eliminación o reparación de collab.
  • Pasa tokens y archivos .env solo desde rutas locales de confianza y evita registrar salida sensible.
  • Ejecuta clean-only o comprobaciones doctor antes de aplicar plantillas a documentos de producción.

Evitar

  • No uses la dirección IP privada de ejemplo sin reemplazarla por la URL de tu propia implementación.
  • No ejecutes plantillas de fuentes no confiables contra un espacio de trabajo de producción.
  • No compartas salida de comandos que contenga tokens de acceso, IDs de espacio de trabajo o datos privados de documentos.

Preguntas frecuentes

¿Funciona esta skill con AppFlowy Cloud SaaS?
Está escrita para implementaciones autoalojadas de AppFlowy Cloud y GoTrue. Otros entornos pueden requerir cambios de endpoint o versión.
¿Lee archivos .env automáticamente?
No. La documentación y el código usan archivos .env solo cuando se proporciona una ruta --env explícita.
¿Puede esta skill cambiar contenido existente de AppFlowy?
Sí. Varios scripts crean páginas, añaden bloques, actualizan filas, reparan datos de collab y eliminan filas predeterminadas o no válidas.
¿Qué credenciales se requieren?
Necesitas un token de acceso o un correo electrónico y una contraseña que puedan obtener un token de GoTrue para la implementación de destino.
¿Por qué necesita Node.js?
Algunos flujos de trabajo de reparación de collab usan scripts locales de Node con la dependencia yjs para transformar el estado colaborativo de documentos de AppFlowy.
¿Es seguro publicar la skill?
Tiene riesgo medio. Es publicable con advertencias porque maneja credenciales y puede modificar datos del espacio de trabajo.

Detalles del desarrollador

Autor

BaloneGit

Licencia

MIT

Repositorio

https://github.com/BaloneGit/appflowy-skill/tree/main/

Ref.

main

Estructura de archivos

📁 agents/

📄 openai.yaml

📁 examples/

📄 README.md

📁 references/

📁 payloads/

📄 add_db_field.json

📄 append_block.json

📄 create_page_view.json

📄 upsert_row.json

📁 templates/

📄 fitness_doc_blocks.json

📄 fitness_plan.example.json

📄 grid_plan.example.json

📄 user_management_doc.json

📄 appflowy_api_reference.md

📄 config.example.json

📁 scripts/

📄 _common.py

📄 add_db_field.py

📄 append_block.py

📄 appflowy_client.py

📄 appflowy_skill.py

📄 apply_grid_template.py

📄 collab_delete_blocks.mjs

📄 collab_delete_row_orders.mjs

📄 collab_update_select_options.mjs

📄 create_page_view.py

📄 create_user_management_doc.py

📄 doc_grid_lib.py

📄 doctor.py

📄 get_row_detail.py

📄 get_token.py

📄 list_databases.py

📄 list_row_ids.py

📄 list_workspaces.py

📄 package.json

📄 search.py

📄 update_page_name.py

📄 update_user_management_doc.py

📄 upsert_row.py

📄 LICENSE

📄 README.md

📄 skill.json

📄 SKILL.md

📄 VERSION