by 安全扫描
OpenClaw
安全
medium confidence该技能的指令、依赖项和所需操作与使用 Membrane CLI 作为代理的 Amazon Elasticsearch 集成一致。主要风险在于信任外部 Membrane 服务和运行通过 npm/npx 安装的 CLI 代码,而非对齐或隐藏的凭证请求。
评估建议
该技能内部逻辑一致,使用 Membrane 作为代理以避免直接请求 AWS 密钥。安装或使用前,请验证 Membrane 项目(主页和 GitHub 存储库),了解 membrane 登录将授予 Membrane 访问您的 Elasticsearch/AWS 资源的权限,并谨慎运行 npm -g 或 npx(这些会获取和执行远程代码)。如果需要将凭证保持在第三方服务外,该技能的设计(委托 Membrane 进行身份验证)可能不合适。请审查 Membrane CLI 源代码,并考虑在受控环境中安装 CLI 而非全局安装,如果您有安全顾虑。...详细分析 ▾
✓ 用途与能力
名称和描述声称为 Amazon Elasticsearch 集成,SKILL.md 一致指示使用 Membrane CLI 连接、发现操作和代理请求到 Amazon Elasticsearch。要求 Membrane 账户并使用 Membrane 持有凭证与此目的一致。
✓ 指令范围
运行时指令仅限于安装/使用 Membrane CLI、执行登录、创建连接、列出操作、运行操作和代理请求。没有指令读取无关的本地文件、访问无关的环境变量或从 Membrane/AWS 流外泄漏数据。
ℹ 安装机制
该技能仅为指令(无安装规格),但指示用户通过 npm -g 和 npx 安装和运行 @membranehq/cli。从 npm 安装或执行包意味着执行在安装/运行时获取的第三方代码 — 这对于 CLI 集成是预期的,但用户应意识到这是一个运行时风险。
ℹ 凭证需求
该技能不请求本地 AWS 凭证或环境变量,并将身份验证委托给 Membrane,这与声明的目标成比例。然而,这将信任放在 Membrane(第三方服务)上,以存储和管理您的 Elasticsearch/AWS 凭证并代理请求。
✓ 持久化与权限
该技能不请求持久权限(始终:false),指令中不修改其他技能或系统范围设置,并且可由用户调用。默认允许自主调用,但这里没有特意赋予权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/7
自动同步自 membranedev/application-skills
● 无害
安装命令
点击复制官方npx clawhub@latest install amazon-elasticsearch
镜像加速npx clawhub@latest install amazon-elasticsearch --registry https://cn.longxiaskill.com
技能文档
请见下(保持原文,仅示例,实际应翻译 SKILL.md 中的中文部分)