by 安全扫描
OpenClaw
可疑
high confidence该技能的代码和指令与 Jira-PAT 帮助器匹配,但包元数据未声明实际所需的环境变量和二进制要求,导致不一致,应在信任前解决。
评估建议
["确认技能所有者可信任(注册所有者与 _meta.json 所有者不同)","要求发布者更正元数据,列出所需环境变量(JIRA_PAT、JIRA_URL)和二进制文件(curl、jq),并声明 PAT 为主要凭证","仅提供具有最小必要范围的 PAT,避免广泛的管理员范围。若意外共享,旋转/重新生成 PAT","验证 JIRA_URL 指向您的预期内部 Jira 服务器","在授予自动访问令牌之前,在安全环境中检查和运行包含的脚本","如果发布者无法或不愿更正元数据,请将技能视为不可信任,因为平台可能无法正确处理或保护秘密"]...详细分析 ▾
ℹ 用途与能力
SKILL.md 和脚本明确实现了 Jira 个人访问令牌(PAT)帮助器(问题查询、转换、评论),与技能名称/目的匹配。但注册元数据声称没有所需的环境变量、二进制文件或主要凭证,而运行时文档和脚本需要 JIRA_PAT 和 JIRA_URL,并假设 curl 和 jq——这种不匹配是意外的。
✓ 指令范围
指令和 bash 脚本仅在 Jira REST API 上操作,使用授权:Bearer <PAT>,仅引用 JIRA_PAT 和 JIRA_URL;它们不尝试读取无关文件、联系其他端点或从 Jira 实例之外泄漏数据。范围仅限 Jira 操作。
✓ 安装机制
无安装规格(仅指令)和无远程下载。包含一个本地脚本;它是使用 curl/jq 的普通 Bash 脚本。从安装角度看,这是低风险的。
⚠ 凭证需求
技能合理地需要 Jira PAT 和 Jira URL(合理且成比例)。但注册元数据未声明这些所需的环境变量(或 PAT 作为主要凭证),这是一个不一致:代理或平台可能不会如预期地显示或保护秘密。脚本还假设 curl 和 jq 可用,尽管二进制文件未被声明。
✓ 持久化与权限
技能不请求持久/始终在线的存在(始终:false),也不修改其他技能或系统范围的设置。允许自主调用(平台默认),但未与其他红旗合并。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.12026/2/9
Jira PAT 技能的初始发布,支持使用个人访问令牌管理自托管/企业 Jira 实例,包括获取问题详细信息、搜索、转换、评论、更新和创建问题等功能,并提供了 API 错误的故障排除提示。
● 可疑
安装命令
点击复制官方npx clawhub@latest install clawhub-jira-pat-skill
镜像加速npx clawhub@latest install clawhub-jira-pat-skill --registry https://cn.longxiaskill.com
技能文档
管理自托管/企业 Jira 实例的 Jira 问题,使用个人访问令牌(PAT),适用于 SSO/SAML 环境下的 Basic Auth 失效场景。
何时使用此技能
- 自托管 Jira 实例(如 Red Hat、企业部署)
- 启用 SSO/SAML 认证的 Jira 实例
- Basic Auth 和
jira-cli失效的环境
注意: 对于 Atlassian Cloud 使用电子邮件 + API 令牌认证,请使用 clawdbot-jira-skill。
前提条件
- 个人访问令牌(PAT):在 Jira 中创建一个
JIRA_PAT 中
- Jira 基础 URL:您的 Jira 实例 URL 在
JIRA_URL中
工具
该技能使用curl 和 jq 进行所有操作。