ncm-cli-setup

该技能的总体目的与能力基本一致：安装音乐 CLI、安装播放器、配置 API Key、执行登录。主要风险在于发布来源核验不足：`@music163/ncm-cli` 的官方归属和发布链证据不充分，且技能要求把 `privateKey` 直接交给该 CLI 保存和使用。`install_mpv.py` 也未提供内容，降低了可审计性。未见明显恶意外传或与用途无关的越权访问，但因供应链与凭据转交问题，整体应判为中等风险、偏可疑而非恶意。