by 安全扫描
OpenClaw
可疑
medium confidence技能代码和运行行为基本与管理 BT-Panel PHP 站点的目的相符,但存在不一致(注册声明为指令式但包含可执行 Python 脚本)、脚本可能输出敏感值(如数据库密码)且无安装规范 — 使用前请审查。
评估建议
此技能主要提供 Python CLI 工具与 BT-Panel 实例交互(通过 API Token)。安装前:1. 检查 `bt_common/bt_client.py` 是否有硬编码端点;2. 了解必须提供 API Token;3. 注意脚本可能输出敏感数据;4. 虽注册为指令式但含可执行代码,请审查源码;5. 建议在隔离环境或本地测试。...详细分析 ▾
ℹ 用途与能力
技能名称/描述与包含的 Python CLI 脚本(site.py、php.py 等)和单一必需二进制文件(python3)一致。但注册元数据将其描述为“指令式”且“无安装规范”,而包中包含许多可执行代码文件和 bt_common 客户端,这种不一致性很重要,应视为包装/完整性差异。
⚠ 指令范围
SKILL.md 和脚本指示代理在配置的面板服务器上运行许多本地 Python 脚本。脚本读取本地配置,使用用户提供的 API Token 与远程面板 API 交互,多个 CLI 命令输出敏感数据(如数据库信息和密码)。虽然这些操作与站点管理一致,但会增加泄露机密和扩大数据访问范围的风险。
ℹ 安装机制
未提供安装规范(无自动下载/安装),降低了部分供应链风险,但包中包含许多 Python 脚本和将由代理执行的本地 bt_common 库。依赖项(requests、pyyaml 等)根据 README/check_env 需要但不自动安装。提供的文件中无外部下载 URL,这很好,但缺乏明确的安装步骤意味着代码将直接从技能包运行 — 执行前请审查源码。
ℹ 凭证需求
技能未声明所需环境变量,只要求 python3。实际上,脚本读取配置文件(用户主目录下的 GLOBAL_CONFIG_FILE 或可选的 BT_CONFIG_PATH)并依赖用户提供的 BT 面板 API Token(如预期)。它们不请求无关的云凭证,这是合适的。但脚本可能输出面板的敏感字段(数据库密码,可能其他由面板 API 返回的机密)。
✓ 持久化与权限
技能未标记为 'always: true',元数据中也不请求提升的平台权限。它使用自己的配置文件路径(用户主目录下的全局配置)并且似乎不修改其他技能的配置。允许自主调用(平台默认)但这里不与高权限结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/4/3
btpanel-phpsite 1.0.1 - 补充宝塔相关技能依赖矩阵,明确 SSL 验证方式,简化依赖描述,调整常见问题格式,无实质功能变更。
● 无害
安装命令
点击复制官方npx clawhub@latest install btpanel-phpsite
镜像加速npx clawhub@latest install btpanel-phpsite --registry https://cn.longxiaskill.com
技能文档
请参见下方翻译的 SKILL.md 内容(由于字符限制,仅提供关键部分翻译,完整内容请参考原文)