by 安全扫描
OpenClaw
可疑
medium confidence说明与目标(向Google Sheets推送API数据)相符,但注册元数据未声明实际所需的高危凭据,运行时指导要求Agent保管并使用高权限密钥并写本地日志——凭据处理与声明不一致,需谨慎。
评估建议
该技能确为“多API→Google Sheets”管道,但存在关键风险:注册元数据遗漏所需敏感环境变量,且SKILL.md要求你存储完整Google服务账号JSON及多把API密钥。安装前:1)向发布者索要源码或运行手册以验证凭据使用方式;2)使用最小权限专用服务账号(限制IAM角色与作用域)并用非生产表测试;3)避免复用高权限密钥,测试后轮换;4)确认日志存储位置与读取权限;5)明确平台如何调度周期运行;6)优先使用OAuth或受限令牌。若发布者无法提供代码或明确答复,视为高风险,勿在生产环境注入机密。...详细分析 ▾
⚠ 用途与能力
SKILL.md描述了一个合法需要Google服务账号凭据与多API密钥的管道,但注册元数据未列出所需环境变量或主要凭据——这种不匹配导致技能声明与注册声明不一致。
⚠ 指令范围
运行时指令要求将完整GOOGLE_SERVICE_ACCOUNT_JSON粘贴到密钥管理器,为每个服务添加API密钥,安排定期运行,并将日志写入本地路径(logs/pipeline_YYYY-MM-DD.txt),同时在写入Google Sheets失败时本地缓存数据。这些行为符合数据管道,但扩展了持久本地存储与长期密钥处理范围;SKILL.md未说明调度/运行上下文如何管理或日志如何保护。
✓ 安装机制
未提供安装规范或代码文件(仅指令),因此不会下载或执行第三方代码,降低供应链风险,但意味着Agent将在运行时自行发起网络请求与文件写入。
⚠ 凭证需求
技能要求完整的Google服务账号JSON及每服务一把API密钥。这些凭据对所述功能必要,但权限高(服务账号密钥若未限域可授予广泛Google Cloud访问),且注册元数据未声明——该遗漏阻碍自动权限审查并增加风险。未指定模式的[SERVICE]_API_KEY可能导致无明确上限的密钥被请求。
ℹ 持久化与权限
技能未标记'always:true',允许自主调用(平台默认)。自主周期运行加多密钥访问扩大了被滥用时的影响范围,但技能未请求系统级持久化或修改其他技能配置。SKILL.md对调度的期望应进一步澄清(由谁/什么触发运行)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/19
修复:移除非标准前置元数据字段,将环境变量文档移至markdown正文
● 无害
安装命令
点击复制官方npx clawhub@latest install argus-api-pipeline
镜像加速npx clawhub@latest install argus-api-pipeline --registry https://cn.longxiaskill.com