by 安全扫描
OpenClaw
可疑
medium confidence该技能表面上能读取 Jira/Confluence 数据,但多个不一致和有 bug 的脚本(缺失声明的环境变量/二进制依赖,破坏的 shell 语法,和不正确的身份验证使用)使其可疑而非明显无害。
评估建议
["在审查前,不要从未知源安装 — 没有主页,发布者身份未知。","预计提供 JIRA_API_TOKEN 和 CONFLUENCE_API_TOKEN(技能元数据未声明它们),确保令牌具有最小必要范围(如果可能,使用只读)。","脚本需要 curl 和 jq;安装它们或更新元数据。","在使用前修复 bug:脚本/auth.sh 有破坏的导出语法将会出错,Authorization 头的使用对于 Atlassian Cloud 不正确(令牌必须正确使用,通常作为 Basic 与 base64 编码的 email:token 或通过 OAuth/bearer)。","用您的真实域名替换占位符域名(your-domain.atlassian.net),并在隔离环境中使用有限范围令牌进行测试。","更好地从可验证的源获取技能,或者本地 fork 和更正代码;在提供真实凭据之前,审查和测试更改。如果您愿意,我可以建议确切的身份验证流和脚本问题修复。"]...详细分析 ▾
⚠ 用途与能力
The skill's stated purpose is Jira/Confluence API access using API tokens, which aligns with the included scripts. However registry metadata declares no required environment variables or binaries while the scripts clearly require JIRA_API_TOKEN, CONFLUENCE_API_TOKEN, and the presence of curl and jq. That mismatch (required secrets/binaries not declared) is disproportionate and inconsistent.
ℹ 指令范围
SKILL.md instructs storing API tokens in environment variables and running the provided reader scripts; the scripts only contact Atlassian domains (placeholders) and do not perform obvious data exfiltration to third parties. However the SKILL.md, example files, and script endpoints include inconsistent/incorrect API paths and authentication instructions (e.g., claiming either basic or bearer while scripts send 'Authorization: Basic ${TOKEN}' directly). The instructions are otherwise scoped to the stated purpose but contain inaccuracies that could cause misuse.
✓ 安装机制
No install spec (instruction-only + local scripts) — lowest install risk. Nothing in the package downloads or executes remote code. This is the least risky install model.
⚠ 凭证需求
The skill legitimately needs two Atlassian tokens (JIRA_API_TOKEN and CONFLUENCE_API_TOKEN), which is proportionate. But those env vars are not declared in the skill metadata. Also the scripts export tokens into the environment (normal) but contain broken export syntax. Required binaries (curl, jq) are used but not declared. The missing metadata declarations make credential/permission requirements unclear.
✓ 持久化与权限
The skill does not request persistent or elevated platform privileges (always is false, it is user-invocable). It does not modify other skills or system configs. No persistence/privilege concerns identified.
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/23
Jira & Confluence 集成技能初始发布: - 通过 REST API 启用自动化读取 Jira 问题和 Confluence 页面。 - 支持问题查找、JQL 搜索、页面检索和可选评论。 - 通过环境变量使用安全 API 令牌身份验证。 - 提供可执行的摘要和洞察以增强工作流。 - 包括 CLI 命令和 OpenClaw 工作流集成。 - 强调对凭据的强安全实践。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install jiraandconfluence-skill
镜像加速npx clawhub@latest install jiraandconfluence-skill --registry https://cn.clawhub-mirror.com
技能文档
概述
自动化检索和总结 Jira Cloud 问题和 Confluence Cloud 页面,使用安全 API 令牌提高工作流洞察力。功能
- 通过 REST API 自动化读取 Jira 问题和 Confluence 页面
- 支持问题查找、JQL 搜索、页面检索和可选评论
- 通过环境变量使用安全 API 令牌身份验证
- 提供可执行的摘要和洞察以增强工作流
- 包括 CLI 命令和 OpenClaw 工作流集成
- 强调对凭据的强安全实践
使用示例
# 示例 CLI 命令
jira-confluence-skill --lookup-issue
安全注意事项
请确保 API 令牌的范围最小化,并从可信源获取技能。数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制