安全扫描
OpenClaw
安全
high confidence该技能逻辑一致,仅作为指令指南,使用阿里云 CLI 运行只读的阿里云 NIS 可达性分析,仅请求必要的凭证。
评估建议
该技能如所宣称,使用阿里云 CLI 运行 NIS 可达性分析和 CloudMonitor 查询,旨在只读。使用前,请(1)在自己的终端运行 CLI 命令,不将访问密钥粘贴到聊天中;(2)仅提供最小权限的账户/配置文件;(3)了解启用 --auto-plugin-install 将在系统上自动安装阿里云 CLI 插件;(4)遵循 SKILL.md 规则,永远不要在对话中分享密钥;(5)在共享机器上运行时,优先使用临时 STS 令牌或 ECS RAM 角色而非长期根/所有者密钥。...详细分析 ▾
✓ 用途与能力
名称/描述(阿里云 NIS 可达性分析)与指令匹配:命令通过阿里云 CLI 目标 nis 和 cms API,无不相关的服务、二进制文件或请求的凭证。
ℹ 指令范围
指令将代理限制为只读的 NIS 和 CloudMonitor 调用,明确禁止在聊天中回显或请求 AK/SK。技能要求用户在本地运行 aliyun CLI 命令检查凭证,并在调用 API 之前确认所有用户提供的参数。注意:包含的安装/配置文档包含设置凭证的示例(包括字面示例)用于典型的 CLI 使用——SKILL.md 本身禁止在对话中输入凭证,但如果用户将示例复制到共享环境中,粗心使用可能会暴露秘密。
✓ 安装机制
仅指令技能:无安装规格或下载代码。CLI 安装指令引用官方阿里云下载主机(aliyuncli.alicdn.com),这对于此目的是预期的。
✓ 凭证需求
技能包不需要声明环境变量;运行时需要有效的阿里云凭证(AK/SK、STS 或实例角色),这与执行 NIS 和 CloudMonitor 查询成比例。技能明确禁止泄漏或打印凭证。
✓ 持久化与权限
技能不请求 always:true,不修改其他技能,只能由用户调用。它要求用户启用的唯一配置更改是 'aliyun configure set --auto-plugin-install true'(启用自动 CLI 插件安装),这影响本地 CLI 行为,但对于使用产品插件是合理的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.12026/3/31
● 无害
安装命令
点击复制官方npx clawhub@latest install alibabacloud-network-reachability-analysis
镜像加速npx clawhub@latest install alibabacloud-network-reachability-analysis --registry https://cn.longxiaskill.com
技能文档
Language / 语言: Respond in the same language the user uses.
If the user speaks Chinese, use the Chinese (zh-CN) prompts below.
If the user speaks English, use the English (en) prompts below.
使用与用户相同的语言进行回复。
如果用户使用中文,请使用下面的中文(zh-CN)提示词。
如果用户使用英文,请使用下面的英文(en)提示词。
Guides an agent through interactive network reachability analysis using Alibaba Cloud NIS. Covers forward/reverse path analysis, topology visualization (Mermaid), and monitoring diagnostics for resources along the path.
架构: NIS (CreateAndAnalyzeNetworkPath + GetNetworkReachableAnalysis) + CloudMonitor (DescribeMetricData)
⚠️ CRITICAL / 关键: READ-ONLY OPERATIONS ONLY>
This skill performs read-only network diagnostics. DO NOT create, modify, or delete any cloud resources.>
本技能仅执行只读网络诊断操作。严禁创建、修改或删除任何云资源。
Allowed:>CreateAndAnalyzeNetworkPath,GetNetworkReachableAnalysis,DescribeMetricData,DescribeAPIs
允许:分析任务创建与查询、监控数据查询、Describe 类查询 API
Forbidden:Create(exceptCreateAndAnalyzeNetworkPath),Modify,Delete,Start,Stop,RunAPIs
禁止:创建类 API(除CreateAndAnalyzeNetworkPath外)、修改、删除、启停、执行类 API
核心工作流程
步骤 1:正向路径分析
aliyun nis create-and-analyze-network-path \
--source-id \
--source-type \
--target-id \
--target-type \
--protocol \
--target-port \
--source-ip-address \
--target-ip-address \
--region \
--user-agent AlibabaCloud-Agent-Skills
若 SourceType/TargetType 不是vpn或vbr,可省略--source-ip-address/--target-ip-address。
若 Protocol 是icmp,可省略--target-port。
记录返回的NetworkReachableAnalysisId。
⚠️ 强制要求:正向分析完成后,必须执行反向路径分析。>
必须在步骤 2 完成后立即执行步骤 3(反向路径分析)。严禁跳过或省略反向路径检查。
步骤 2:轮询正向结果
aliyun nis get-network-reachable-analysis \
--network-reachable-analysis-id \
--region \
--user-agent AlibabaCloud-Agent-Skills
重复执行直至 NetworkReachableAnalysisStatus 为 finish。提取 Reachable 和 NetworkReachableAnalysisResult。
步骤 3:反向路径分析
交换源和目的:
- 正向
SourceId/Type→ 反向TargetId/Type - 正向
TargetId/Type→ 反向SourceId/Type - 正向
SourceIpAddress→ 反向TargetIpAddress - 正向
TargetIpAddress→ 反向SourceIpAddress
端口处理:
- 反向
--source-port= 正向TargetPort(服务端监听端口) - 反向
--target-port= 临时端口范围内的随机端口 49152 ~ 65535(客户端临时端口)
由于客户端发起连接时使用动态分配的临时端口,反向路径(服务端→客户端)的目的端口应使用临时端口范围(49152-65535)内的随机值来模拟真实回程流量。
aliyun nis create-and-analyze-network-path \
--source-id \
--source-type \
--target-id \
--target-type \
--protocol \
--source-port \
--target-port \
--source-ip-address \
--target-ip-address \
--region \
--user-agent AlibabaCloud-Agent-Skills
若源/目的类型不是vpn或vbr,可省略--source-ip-address/--target-ip-address。
步骤 4:轮询反向结果
与步骤 2 相同,使用反向的 NetworkReachableAnalysisId。
步骤 5:结果解读
关键:始终使用主动发起的分析任务返回的topologyData.positive。
忽略任何响应中的topologyData.reverse——它不可靠。
对正向和反向分别:
- 检查
Reachable字段,true表示可达。 - 若为
false,分析以下字段定位阻断点:
errorCode — 根因错误码
- securityGroupData — 安全组拦截规则
- routeData — 路由表丢包条目步骤 6:拓扑可视化(Mermaid)
从 topologyData.positive 生成 Mermaid 图:
`` graph LR
节点:从 nodeList 提取 nodeType 和 bizInsId
链接:从 linkList 构建有向边
示例:
mermaid
graph LR
ECS_i-src["ECS: i-bp1xxx"] --> VRouter_vrt-1["VRouter: vrt-xxx"]
VRouter_vrt-1 --> VSW_vsw-1["VSW: vsw-xxx"]
VSW_vsw-1 --> ENI_eni-1["ENI: eni-xxx"]
ENI_eni-1 --> ECS_i-dst["ECS: i-bp2xxx"]
步骤 7:途经资源监控诊断
对 topologyData 中途经的资源 ID,若匹配以下前缀,查询最近 1 小时监控数据:
前缀 命名空间 指标 ecs- acs_ecs_dashboard CPUUtilization, ConnectionUtilization, DiskReadWriteIOPSUtilization, BurstCredit, DiskIOQueueSize eip- acs_vpc_eip out_ratelimit_drop_speed, net_out.rate_percentage, net_rxPkgs.rate nat- acs_nat_gateway ErrorPortAllocationCount, SessionLimitDropConnection, SessionActiveConnectionWaterLever, SessionNewConnectionWaterLever, BWRateOutToOutside, DropTotalPps clb- acs_slb_dashboard UnhealthyServerCount, UpstreamCode5xx, InstanceQpsUtilization, InstanceMaxConnectionUtilization, UpstreamRt, StatusCode4xx vbr- acs_physical_connection VbrHealthyCheckLossPercent, VbrHealthyCheckLatency, PkgsRateLimitDropOutFromVpcToVbr, RateOutFromVpcToIDC
查询命令(CMS 使用 PascalCase API 风格,非插件模式):
bash
aliyun cms DescribeMetricData \
--Namespace \
--MetricName \
--Dimensions '[{"instanceId":""}]' \
--StartTime <1HourAgoTimestamp> \
--EndTime \
--Period 60 \
--user-agent AlibabaCloud-Agent-Skills
`速率限制:每个账户每秒 10 次调用。跨多个指标的批量查询应相应控制调用频率。
清理
NIS 可达性分析为只读操作——不会创建或修改任何云资源,无需清理。
使用限制
- 仅支持 IPv4 — 仅支持 IPv4 路径分析。
- 单向分析 — 每次分析为单向;反向路径需要单独的任务并交换源/目的。
CMS 配额 —DescribeMetricData与其他 CMS 查询 API 共享每月 1,000,000 次免费调用。- CMS 频控 — 每账户每秒 10 次调用(包括 RAM 用户)。
最佳实践
始终执行正向+反向分析以确认双向连通性。- 路径不可达时,优先检查安全组规则和路由表。
vpn/vbr` 场景务必提供云下私网 IP。- 使用 Mermaid 拓扑图帮助用户可视化流量路径。
- 仅查询实际路径上的资源监控数据以减少 API 调用。
- 将监控异常与可达性结果一并呈现,提供完整诊断。
参考文件
| 参考文件 | 内容 (EN) | 内容 (ZH) |
|---|---|---|
| references/ram-policies.md | Required RAM permissions | 所需 RAM 权限策略 |
| references/verification-method.md | Step-by-step verification commands | 逐步验证命令 |
| references/acceptance-criteria.md | Correct/incorrect CLI patterns | 正确/错误 CLI 模式对照 |
| references/cli-installation-guide.md | Aliyun CLI installation guide | 阿里云 CLI 安装指南 |