by 安全扫描
OpenClaw
可疑
high confidence该技能整体上与基于 curl 的 Confluence 集成相匹配,但在安装前需了解其存在的重要不一致之处以及中等程度的安全/运营风险。
评估建议
这是一个基本可用的 Confluence curl 封装脚本,安装前请先确认以下几点:
1. 脚本依赖 curl 和 jq,但元数据未列出——先安装它们。
2. 优先使用 API token 而非密码,避免在共享/全局环境中设置 CONFLUENCE_PASS;`curl -u user:pass` 会在多用户系统的进程列表中暴露密码。建议使用 .netrc 或 Authorization header 方式降低泄露风险。
3. 脚本将临时响应文件写入 /tmp;若在多用户主机运行,请使用隔离容器或确保 /tmp 访问安全。
4. 使用前本地完整审阅 confluence.sh(你已拥有),确认 CONFLUENCE_URL 指向可信的 Confluence 实例。
若需更严格的凭证处理保障,请要求作者:
a) 在元数据中注明所需二进制文件;
b) 避免行内 -u 用法(改用 header 或 .netrc);
c) 避免明文临时文件或使用安全临时路径。...详细分析 ▾
ℹ 用途与能力
名称、描述与运行时脚本均与 Confluence REST API 客户端(搜索、页面、附件)一致;所请求的环境变量(CONFLUENCE_URL、CONFLUENCE_USER、CONFLUENCE_PASS)也恰当。然而,registry/metadata 声称无需任何二进制文件,而所含脚本却强制要求 curl 与 jq——元数据不完整/不一致。
⚠ 指令范围
SKILL.md 及说明将活动限制为 Confluence REST 调用,且仅使用已声明的环境变量。shell 脚本确实只访问 CONFLUENCE_URL/rest/api/… 和本地临时文件。然而,脚本使用 curl -u user:pass(在进程命令行向其他本地用户暴露凭据),并将附件响应写入 /tmp;这两项均属中等风险,与 SKILL.md 中“凭据绝不会在外部暴露或存储”的强硬声明相矛盾。
✓ 安装机制
无安装规范(仅提供说明,附带 shell 脚本)。从安装角度看风险极低,因为安装过程中不会下载任何内容;脚本在调用时于本地运行。
ℹ 凭证需求
三个必需的环境变量正是 Confluence CLI 所需,且配置合理。
小问题:主凭据字段未在注册表中声明(无 primaryEnv),但这属于管理层面,不影响功能。
明文使用 CONFLUENCE_PASS 符合 API 令牌预期,但仍需谨慎。
✓ 持久化与权限
该技能并非常驻,不会请求持久权限或修改其他技能。它按需运行,不声明提升的系统权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/22
OpenClaw Confluence Integration 技能首次发布 - 使用轻量级 shell 脚本(基于 curl,无 Python 依赖)提供 Confluence REST API 操作 - 支持页面搜索(CQL)、创建、更新与获取 - 可列出空间并管理页面附件 - 通过环境变量配置(Confluence URL、用户、API key/password) - 文档内含示例用法及 CQL 查询
● 可疑
安装命令
点击复制官方npx clawhub@latest install lukaizj-confluence
镜像加速npx clawhub@latest install lukaizj-confluence --registry https://cn.longxiaskill.com
技能文档
OpenClaw 的 Confluence 集成技能。使用纯 curl/shell 通过 REST API 管理 wiki 页面、空间及内容。
功能
- 用 CQL 搜索 Confluence 页面
- 获取、创建、更新页面
- 列出并查看空间
- 向页面上传附件
- 创建子页面
配置
- 创建 Confluence API token 或使用密码
- 获取 Confluence base URL
- 配置环境变量
环境变量
| 变量 | 必需 | 说明 | |------|------|------| |CONFLUENCE_URL | 是 | Confluence base URL(如 https://your-company.atlassian.net) |
| CONFLUENCE_USER | 是 | Confluence 用户名或邮箱 |
| CONFLUENCE_PASS | 是 | 密码或 API token | 安全提示:凭据仅本地使用,不会外泄或存储。
使用示例
``
检查 Confluence 连接
搜索含“kyuubi”的页面
获取 ID 为 123456 的页面
在 DAT 空间创建标题为“Project Notes”的新页面
更新页面 123456 的内容
向页面 123456 上传附件
` 命令
check
验证与 Confluence 实例的连接。 search
使用 Confluence Query Language (CQL) 搜索页面。
`
text ~ "keyword"
space = "DAT" AND text ~ "spark"
type = page
` page get
按 ID 获取页面,返回标题、内容、空间、版本。 page create
创建新页面。选项:
--space:空间 key(必填)--title:页面标题(必填)--body:页面内容(必填)--parent:父页面 ID(用于子页面)
page update
更新页面内容。选项:
--body:新内容--title:新标题--append:追加到现有内容
page attach
向页面上传文件附件。 space list
列出所有可访问空间。 CQL 示例
| 搜索 | 说明 |
|------|------|
| text ~ "kyuubi" | 含“kyuubi”的页面 |
| space = "DAT" | DAT 空间中的页面 |
| type = page | 所有页面 |
| text ~ "spark" AND space = "DEV"` | DEV 空间中关于 spark 的页面 |