by 安全扫描
OpenClaw
可疑
medium confidence该技能主要符合其宣称的目的(基准测试云文档),但运行指令要求提供阿里云凭据和资源/区域标识,而包元数据未声明任何必需的环境变量。这一不匹配和收集资源标识的潜在风险值得谨慎对待。
评估建议
["确认凭据需求:SKILL.md要求阿里云凭据(ALICLOUD_ACCESS_KEY_ID/ALICLOUD_ACCESS_KEY_SECRET),但技能元数据未声明任何必需的环境变量。请作者确认为什么需要这些密钥,哪些API调用将使用它们,以及是否可以在不提供凭据的情况下以只读模式运行脚本。不要在理解确切的API调用之前提供生产凭据。","限制敏感输出:指令要求在证据文件中包含区域/资源ID/时间范围。决定这些标识符是否安全以写入磁盘和共享。使用隔离环境(一次性账户或有限权限密钥)运行脚本,并在共享之前审查输出/文件。"]...详细分析 ▾
⚠ 用途与能力
名称/描述和包含的脚本与宣传的功能相符(发现和评分云提供商文档)。然而,SKILL.md 明确要求用户配置最低权限的阿里云凭据(ALICLOUD_ACCESS_KEY_ID/ALICLOUD_ACCESS_KEY_SECRET),尽管技能的注册元数据未列出任何必需的环境变量或主凭据。
⚠ 指令范围
运行指令具体(如何运行脚本,输出位置),主要为只读(web发现、GCP Discovery API、GitHub代码搜索、DuckDuckGo)。然而,SKILL.md 要求在证据文件中包含区域/资源ID/时间范围,并警告“变异操作”——这鼓励收集可能敏感的资源标识符。
✓ 安装机制
无安装规格;该技能仅为指令,附带独立的Python脚本。这是最低的安装风险(安装时无下载或执行内容)。
⚠ 凭证需求
SKILL.md 请求 ALICLOUD_ACCESS_KEY_ID、ALICLOUD_ACCESS_KEY_SECRET(以及可选的 ALICLOUD_REGION_ID),但清单/注册表显示无必需的环境变量或主凭据。
✓ 持久化与权限
该技能未标记为 always:true,不请求系统范围的持久性。它可以自主调用(平台默认),这是正常的。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/13
批量发布自 alicloud-skills 于 2026-03-11
● 无害
安装命令
点击复制官方npx clawhub@latest install alicloud-platform-multicloud-docs-api-benchmark
镜像加速npx clawhub@latest install alicloud-platform-multicloud-docs-api-benchmark --registry https://cn.longxiaskill.com
技能文档
使用此技能时,用户希望比较类似产品的跨云文档/API。
支持的云平台
- 阿里云
- AWS
- Azure
- GCP
- 腾讯云
- 火山引擎
- 华为云
...(以下内容与原文相同,仅翻译了标题和简要描述,具体命令和代码块保持不变)